欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

各种浏览器之间Xss代码执行的差别

来源:本站整理 作者:Mosuan's Blog 时间:2016-10-25 TAG: 我要投稿

 0x01:

1
<img onmouseover=alert(1)>

这个payload在chrome or firefox下是执行不了的,解析不出图片,因为没有src属性,而在IE中能解析,图片高度为28,宽度为30...

1.chrome下的

chrome.png

2.firefox下的

firefox.jpg

3.ie下的

IE.png

4.附一张ie执行成功图

yes.png

测试onerror onload onclick,因为onerror和onload都是需要src属性,所以都没执行成功,只有onclick在ie下成功了。

0x02:

1
<img src= onmouseover=alert(1)>

IE、firefox、chrome都把上面解析成如下payload,不信者自己尝试。

1
<img src="onmouseover=alert(1)">

如果把src跟onmouseover的前后顺序换一下
如下payload

1
<img onmouserover=alert src>

解析结果及执行结果如下:firefox:<img src onmouseover="alert(1)"> 可执行。
chrome:<img src onmouseover="alert(1)"> 不可执行,图片宽高为auto。
IE:<img src onmouseover="alert(1)"> 可执行。

以后你们装逼问别人的时候可以问问这个...一般人真不注意这个...浏览器我没看过,应该是解析规则导致的,或许这就是特性吧。最后一个tips IE居然跟firefox一个阵营,我有点吃惊,从来只听说IE反人类,没听过firefox反人类。。。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载