`
Checkmate
  • 浏览: 38819 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

我的脚本被蹂躏了

阅读更多

今天我的脚本被测试组的蹂躏了....

 

1.举个最简单的例子吧:

 

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>just 4 test</title>
<script type="text/javascript">
function test()
{
	var value = document.getElementById('text').value ;
	
	if(value==null || value=="")
	{
		alert('不能空')
		return false
	}	
	return true;
}
</script>
</head>

<body>
<form action="" method="post" name='gg'>
<input type="text" id="text"/>
<input type="button" onclick="javascript:if(test())gg.submit()" value="Encode"/>
</form>
</body>
</html>

 

测试在text里输入 "><script>alert("XSS")</script>

 

提交.....

 

结果再次读入这个记录的时候会弹出alter.....

 

 

2.于是我建了一个正则,专门在提交之前检查是否存在<script>这样的字符串

 

测试在text里仍旧输入"><script>alert("XSS")</script>

 

然后在地址栏里输入javascript:alert(test=function test(){alert('蹂躏你')})

 

提交......

 

结果再次读入这个记录的时候会弹出alert.....

 

3.给text添加onchange="javascript:this.value=escape(this.value)"

 

结果被告知中间可以包含空格,但是空格会变成%xxxxxx

 

 

4.onchange="javascript:this.value=escape(this.value). .replace(/%20/g,' ')"

 

等待审查中......

 

而且我在想,如果可恶的测试把onchange()都重写了,我该怎么办.......

分享到:
评论

相关推荐

    3dsmax脚本大全3dmax脚本大全

    "3dsmax脚本大全"这个压缩包很可能包含了多种3dsmax使用的脚本,这些脚本可能涵盖建模、材质、灯光、动画、粒子系统等多个方面。 一、脚本基础 1. 脚本语言:3dsmax支持两种主要的脚本语言——MaxScript和Python。...

    游猴脚本,多种脚本的汇总

    - **运行控制**:脚本提供了对运行环境的控制,比如通过“orig_includes”和“orig_excludes”指定哪些URL可以运行脚本,哪些URL被排除在外。 **3. 脚本管理** - **更新检查**:脚本支持自动检查更新,确保用户...

    PADS常用脚本文件

    在PADS中,脚本文件是提升工作效率的重要工具,尤其对于重复性任务或者自定义操作,编写脚本可以实现自动化处理。本文将详细介绍"PADS常用脚本文件"及其应用。 1. **脚本基础**: - 脚本语言:PADS主要使用VHDL和...

    gg模板解析_gg脚本模板_GG脚本_

    在GG脚本中,Lua被用来编写灵活、高效的脚本,用于执行游戏内的各种操作,如自动打怪、收集物品等。对于初学者来说,理解Lua的基础语法和特性是十分重要的。 首先,Lua中的数据类型包括数字、字符串、布尔值、表...

    ANSYS workbench脚本开发指南

    日志被记录为基于 python 的脚本。用户可以修改这些脚本或创建新的脚本,这称为脚本。这些功能使用户能够快速轻松地重放已经通过记录日志运行的分析,以及扩展功能,自动化重复分析,并通过脚本以批处理模式运行分析...

    SQL脚本批量执行脚本

    此BAT脚本可以帮助开发人员将某文件夹下所有SQL脚本按文件名依次在指定数据库中批量执行。并且生成日志文件,可查看执行过的所有脚本名称和错误信息。 注意: (1) 使用前需确保已将sqlcmd加入到系统环境变量中。 (2...

    wincc 7.0 脚本解密

    为了保护知识产权和防止非法修改,WinCC 7.0的C脚本通常会被加密。解密脚本的过程涉及以下几个步骤: 1. 获取加密脚本:首先,我们需要获取到加密的C脚本文件,这通常是.exe或.dll形式。 2. 分析加密机制:理解...

    SCDM脚本开发入门教程

    在SCDM中,你可以通过文件&gt;新建&gt;脚本来打开脚本编辑器,输入相应的Python代码,然后点击运行按钮,脚本就会被执行。 **SCDM脚本介绍** SCDM的脚本环境允许用户录制或编写脚本命令,自动化重复任务和复杂工作流程,...

    一个用lua写的游戏脚本实例

    6. 游戏脚本的优化:游戏脚本的优化是游戏脚本设计中的重要步骤,游戏脚本的优化需要考虑游戏脚本的性能、游戏脚本的可读性和游戏脚本的维护性。从提供的实例中,我们可以看到游戏脚本的优化需要包括游戏脚本的优化...

    WinCC-V7.3-C脚本手册 (2).zip_wicc脚本手册_wincc C脚本_wincc c脚本手册_wincc 脚本

    wincc脚本数据手册,最全的C脚本,介绍详细,官方资料

    PRO-FACE 脚本

    与不支持的外接设备通讯,意味着通过编写扩展脚本,可以实现与那些未直接被PRO-FACE支持的外设进行数据交互。例如,可以编写脚本从连接在USB端口的条形码扫描器中读取数据,并将这些数据输出到连接在COM1端口的串行...

    rpg maker xp脚本集合

    《RPG Maker XP脚本集合:打造你的游戏世界》 RPG Maker XP是一款深受爱好者喜爱的游戏制作工具,它允许用户无需编程基础即可构建自己的角色扮演游戏。而“rpg maker xp脚本集合”则为这个平台提供了更为丰富的功能...

    WinCC常用C和VBS脚本.pdf

    在WinCC中,脚本语言被广泛用于自动化任务、数据处理和与用户界面元素的交互。WinCC支持的C脚本类似于标准的C语言,而VBS脚本则基于Visual Basic语言的简化版本。这两种脚本语言在语法上有所不同,但都提供了丰富的...

    MCJ脚本 超强MCJ脚本 速度 340+

    在某些官方或特定规则的服务器中,使用脚本可能会被视为作弊,可能导致账号被封禁。因此,玩家在使用时需了解并遵守所在服务器的规定,以免对自己的游戏生涯造成负面影响。 至于压缩包中的文件"cstrike_schinese"和...

    WINDOWS脚本技术手册

    《WINDOWS脚本技术手册》是一本全面覆盖Windows脚本编程技术的权威指南,它深入浅出地介绍了在Windows操作系统环境中,如何利用各种脚本语言进行系统管理和自动化操作。手册不仅涵盖了JScript、VBScript这两种主要的...

    苹果脚本跟我学 苹果脚本跟我学 苹果脚本跟我学

    1. **印刷行业:**在印刷行业中,苹果脚本被用来实现自动化工作流程,比如自动调整图像大小、格式转换等。常用的软件包括Photoshop、QuarkXPress 和 InDesign。 2. **FileMaker Pro 开发:**苹果脚本可以用来开发...

    Linux运维自动化运维脚本.zip

    Linux运维自动化运维脚本.zip,自动化运维脚本 介绍 Linux系统运维中各种一键脚本 使用教程 openssh一键升级脚本,支持centos6、centos7、centos8。 Linux运维自动化运维脚本.zip,自动化运维脚本 介绍 Linux系统...

    星穹铁道自动使用兑换码脚本

    《星穹铁道自动使用兑换码脚本》是一款专为《星穹铁道》游戏设计的辅助工具,它能够帮助玩家自动使用游戏内的兑换码,从而省去手动输入的繁琐步骤,提高游戏体验。该脚本基于Python编程语言编写,因此在使用前,用户...

    STW脚本和Assa脚本指令详解

    STW脚本和Assa脚本指令详解 《STW脚本和Assa脚本指令详解》电子书由渔人制造收集制作,部分内容顺序为了阅读方便做了必要的调整,在此特别说明并向原作者致歉。    

Global site tag (gtag.js) - Google Analytics