不能上传图片,所以只能以这种方式了,不懂的大佬多多指点。本人比较喜欢挖 XSS,因为比较好玩,在就是厂家给的分和奖励也不是很低。
问题一:
希望大佬给点绕过方式,谢谢大佬们了。
限制字数 64 位。
报错: 大概能看出 csp
Refused to load the script 'xxx.xxx' because it violates the following Content Security Policy directive: "script-src 'self' 'unsafe-inline' 'unsafe-eval' *.sogo.com *.sogou.com *.qq.com *.idqqimg.com *.gtimg.cn *.gtimg.com *.soso.com soso.qstatic.com *.sohu.com *.sogoucdn.com *.go2map.com *.google-analytics.com *.itc.cn api.douban.com".
除了调用 qq 域名下的 jons,还有其他办法绕过吗?
问题二:
遇到另外一处奇葩 XSS,
使用代码
先测试 < i m g /s r c = >
没有任何过滤接下来测试。以下代码
< i m g src="x"/**/onerror="eval(String.fromCharCode(97,108,101,114,116,40,39,112,111,114,117,105,110,39,41))"> </ i m g>
过滤情况如下
< img src="x" **="" ="eval(string.fromcharcode(97,108,101,114,116,40,39,112,111,114,117,105,110,39,41))"="">
根据反复测试测试过滤了
,onerror,/,alert,script
希望大佬给一段完整能绕过执行 JS 代码,小弟学习学习。让涨一下见识。
Select Language