我喜欢黑夜,喜欢网络安全,孤独寂寞的黑夜里,我只需要,一包烟,一台笔记本...
更多
首  页>>网络攻防>> WEB安全利用HTML XML,VML,TIME相关来执行XSS
利用HTML XML,VML,TIME相关来执行XSS
6945
2推荐
0评论

从html5sec.org看到的一些,虽然是IE only的,这里做下笔记+心得。 1. time  attributename 和 values 联用

xxx


直接在元素上使用:

防止单行代码看不见

防止单行代码看不见

2. time onbegin ,比较鸡肋的地方是,只要有onxxx过滤器的,就没啥用


3. time set attributename to

xxx



4. vml onmouseover 触发

xxx1



所调用的test.vml



5. 另类的time , html/xml + import组合

x


xml, import 不要? 也可以

x


或者 html + import 组合

x


6. xml+htc组合



test.htc文件

7. style + scriptlet组合


test.sct代码


8. AnchorClick + folder  , (需点击链接执行)

防止单行代码看不见    

XXX   防止单行代码看不见

总结: behavior 很危险,有木有!! import 在style里也危险,作为标记


已经有 ( 0 ) 位网友对此发表了自己的看法,你也评一评吧! 此文不错,我要推荐-->    推 荐
欢迎参与讨论,请在这里发表您的看法、交流您的观点@禁止各种脚本

  • 点击Top
  • 推荐Top
  • 评论Top
更 多>>
本站采用Java语言开发,Spring框架,欢迎朋友们提意见。重新对页面进行布局,修改了程序,方便开源使用,由于本人美工真的不行 ,很少用背景图片,页面基本都用背景色...
主题:无色无味 | 网站地图|
Copyright (c) 2012-2013 www.shack2.org All Rights Reserved. | 空ICP备111111111号 | 程序设计: shack2 Powered by SJBlog v1.0 联系QQ:1341413415