2

如果服务器过滤,是否可以发送 XSS 攻击,但 <{space}tag> 允许并发送回?似乎浏览器不将 <tag> 作为 HTML 标记 :(

服务器只更改输入。(点)到 、(逗号)和过滤器

谢谢。

尝试这个:

setlocal EnableDelayedExpansion

for %%f in (*GREAKER*.mkv) do (
  set name=%%~f
  ren "%%~f" "PHODE_!name:~12!"
)

endlocal
4

2 回答 2

0

属性攻击仍然是可能的(打破 html 属性并添加 javascript 事件处理程序)。

于 2012-10-08T08:33:54.000 回答
0

正如另一个答案中提到的,XSS 攻击还有许多其他方式可以发生。一个好的资源是

https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

https://www.owasp.org/index.php/Testing_for_Cross_site_scripting

具体例子:

<b onmouseover=alert('Wufff!')>click me!</b>
于 2012-10-08T10:40:42.220 回答