https://blog.qife122.com/tags/%E8%BD%BD%E8%8D%B7%E6%8B%86%E5%88%86/ Recent content in 载荷拆分 on 办公AI智能小助手 Hugo zh-cn qife Sat, 13 Sep 2025 02:10:29 +0800 https://blog.qife122.com/p/%E7%AA%81%E7%A0%B420%E5%AD%97%E7%AC%A6%E9%99%90%E5%88%B6%E6%8B%86%E5%88%86xss%E8%BD%BD%E8%8D%B7%E6%94%BB%E5%87%BB%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Sat, 13 Sep 2025 02:10:29 +0800 https://blog.qife122.com/p/%E7%AA%81%E7%A0%B420%E5%AD%97%E7%AC%A6%E9%99%90%E5%88%B6%E6%8B%86%E5%88%86xss%E8%BD%BD%E8%8D%B7%E6%94%BB%E5%87%BB%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h1 id="拆分xss载荷">拆分XSS载荷</h1> <p><strong>日期</strong>：2021年1月11日</p> <p>我正在测试一个表单（实际测试在11月进行，但写作中途被中断），发现一个编辑表单有8个输入字段，均未进行输出编码、输入验证或过滤。这通常是XSS攻击的绝佳目标，但存在一个限制：所有字段最多只能输入20个字符。虽然可能有专家能在20字符内构造有效攻击，但我无法做到[1]，因此我通过注入一个简单的加粗标签演示了HTML注入：</p>