QQ love member No. 3 seed player

know it then do it && APT086&QQ愛安全实验室成员

XSS学习笔记

07 Aug 2019 » 习信息安全系列

[TOC]

Session && Cookie 最大的区别

session是储存在服务器端的一个身份令牌而cookie 是储存在客户端的一个身份令牌。

一些有用的javascript 函数

alert(document.cookie) // 设置或返回与当前文档有关的所有 cookie

alert(document.referrer) // 返回载入当前文档的文档的 URL

alert(document.domain) // 返回当前文档的域名

alert(document.title) // 返回当前文档的标题

alert(window.location.href) // 返回当前页面的 href (URL)

alert(window.location.hostname) // 返回 web 主机的域名

alert(window.location.pathname) // 返回当前页面的路径或文件名

//  js注释            

<!--HTML注释 -->     

/*js注释*/           

在javascript中是允许执行unicode编码的

<  ==\x3c” ==\u003c”

\>  ==\x3e” ==\u003e”

空格 ==\x20” ==\u0020”

eval(string) 函数

# 函数可计算某个字符串,并执行其中的的 JavaScript 代码,例如:

eval('alert(1)’)

String.fromcharcode() 函数

# 可接受指定的unicode编码的值,返回字符串,可以配合eval函数使用,例如

alert(1) ==> String.fromCharCode(97,108,101,114,116,40,49,41)

# 结合 eval 如下:

eval(String.fromCharCode(97,108,101,114,116,40,49,41))

伪静态

Javascript:alert(document.domain)

data:text/html,<script>alert(1)</script>

data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==

vbscript: xxxx // IE中运行

参考学习笔记


「 转载请声明博客地址及APT086&QQ愛安全实验室 」