xss闭合标签用法

最新推荐文章于 2024-07-07 21:44:34 发布
最新推荐文章于 2024-07-07 21:44:34 发布
阅读量418 收藏 3
点赞数 1
分类专栏: WEB漏洞 文章标签: xss 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79218813/article/details/134226573
版权

一、标签的属性值为可控点:

<div id = "可控点">div1</div>

需要使用 " 来闭合前面的引号,如:

  • <div id = "" onlick = "alert(0)">div1</div>
  • <div id = ""><a href = "javascript:alert("xss");">div1</div>

二、标签事件调用方法的参数为可控点:

a、<a onclick = "fangfa('可控点')">

  • 使用 ” 闭合:<a onclick = "fangfa('"href="javascript:alert(0)"a="')">

(上述可行,但会破坏 onclick 标签)

  • <a onclick = "fangfa('',alert("xss"),'')">

(javascript 中定义好的方法,参数可以随便加)

b、var b = document.getElementById('可控点').value;

var b = document.getElementById('xxx').value;alert(0);var hhh=document.getElementById('xxx').value;

(解析:xxx').value; 是为了闭合前面的标签,var hhh=document.getElementById('xxx 是为了闭合后面的标签

三、DVWA实验:

提前闭合 <select> 标签

安全不再安全
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
第二节 标签属性中的XSS-01
09-15
第二节 标签属性中的XSS-01
让两个Div并排显示的多种方法
12-11
让两个Div并排显示 一、使用display的inline属性 复制代码代码如下: <div xss=removed>AAAA</div> <div xss=removed>BBBB</div> 二、通过设置float来让Div并排显示 复制代码代码如下: <style> #left,#right {float:left;border:1px solid red; padding:10px;}
XSS跨站脚本漏洞详解
Zeker62的博客
08-13 438
本文参考资料:《Web安全深度剖析》张炳帅 跨站脚本漏洞:2017年OWASP TOP 7 XSS又叫CSS(Cross Site Scripting),但是和指层叠样式表 (Cascading Style Sheets) 缩写重名,所以叫XSS XSS是指攻击者在网页中嵌入脚本代码,通常是JavaScript代码,当用户使用浏览器看这些已经被嵌入恶意代码的网页的时候,这些代码就会执行,进行攻击。 XSS 属于客户端的攻击,但是中间体是服务器,并且可以当作入侵服务器的跳板:比如管理员执行了恶意代码,.
XSS漏洞
qq_46429177的博客
01-15 580
XSS漏洞介绍和分类 介绍 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击! XSS分类 反射型(非持久型): 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发漏洞。 存储型(持久型):
XSS测试之闭合的正确使用方式
u014171100的博客
12-16 5073
在测试XSS漏洞的时,不少同鞋会从大量Payload中随便挑选几个顺眼来尝试,没有弹窗就放弃了,这种方法并不是很科学,一些稍微隐秘点的XSS基本都能逃过这样的检查。下面我将从XSS的本质讲起,给各位分享一下我的XSS测试方法。 XSS属于注入类漏洞,其本质是:在前端代码中用户可以控制内容的地方(简称可控点),拼接上一段可被浏览器执行的新语句。这里可被浏览器执行是关键,不管你正在测试的点是否有漏洞,首先拼接上去的脚本同上下文看来,需要一定程度的符合前端代码的语法结构。 ...
XSS跨站脚本攻击(level1-10)
不知名白帽的博客
05-31 2334
XSS(跨站请求伪造)level1-10关的题目讲解。
xss-labs通关攻略教程(level1~level 10)
m0_55854679的博客
07-23 4287
level 1 观察题目,发现用户名在url处被提交,且输出用户名的长度为4 2. 查看源码,发现参数未进行任何过滤,猜测为反射型xss 3. 修改name参数为<script>alert("xss")</script> level 2 观察页面提示,发现依然为反射型xss,但是与上一关不同之处在于有了搜索框。 尝试添加与上一关相同的参数 查看源码,发现<和>被HTML字符实体化为&lt、&gt,"被HTML字符实体化为&quot .
xss靶场1-9】见框就插:闭合、过滤、编码、触发事件、http头、标签
07-17 1179
XSS-输入框】
xss-labs靶场通关
10-13
第四关源码使用str_replace函数将尖括号替换为空,在被转义,这并不影响,虽然不能闭合标签,也可以在input标签里边触发xss。payload为:" onmouseover="alert(/xss/)。 第五关 第五关源码使用str_replace函数将和...
js代码-js判断标签{([是否闭合
07-16
如果一个标签不包含对应的结束标签,我们称它为自闭合标签,例如` `或`<img>`。在JavaScript中,我们可以通过正则表达式来检测这些特性。 1. **正则表达式基础** 在JavaScript中,正则表达式是用于匹配字符串...
记录几种XSS绕过方式1
08-03
有些过滤系统会检测完整闭合的HTML标签,但若不闭合,如`<script>alert(1)</script>`,攻击者可以尝试不闭合标签来规避检查。 5. 伪协议利用: 在某些情况下,攻击者可以通过伪协议如`javascript:`来执行...
第十二节 利用IE特性绕过XSS过滤-01
09-15
例如,攻击者可以使用 HTML 事件触发 XSS,例如 `("XSS")>`),或者使用闭合 input 标签来触发 XSS,例如 `<input type="text" value="</input><script>alert("XSS")</script>>`。 IE 特性讲解 IE 特性是指 ...
第十三节 利用CSS特性绕过XSS过滤-01
09-15
或者,攻击者可以使用闭合input标签,利用外部标签触发XSS,例如:<input><script>alert('XSS'),这样可以在用户交互时触发XSS。 CSS特性讲解 CSS是一种样式表语言,用于控制网页的布局和样式。然而,CSS也可以...
常见漏洞之xss
m0_52923241的博客
03-13 1060
简介 攻击者把恶意的脚本代码注入到网页中,等待其他用户浏览这些网页,从而触发恶意执行代码 危害 1.网络钓鱼,盗取各类用户的账号,如机器登录帐号、用户网银帐号、各类管理员帐号; 2.窃取用户Cookie,获取用户隐私,或者利用用户身份进一步执行操作 3.劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志等 4.强制弹出广告页面,刷流量等 5…进行恶意操作,例如任意篡改页面信息,删除文章等,传播跨站脚本蠕虫,网页挂马等 6.进行基于大量的客户端攻击,如DDOS攻击 7.结合其它漏洞,
XSS————3、XSS测试思路
Fly_鹏程万里
12-13 1117
0x00前言 作为一个刚入行的菜鸟,之前对XSS测试的思路没有一个具体化的总结 今天下午写了一下关于测试XSS渗透测试过程的总结 希望大家能在底下写上自己常用的和好用的payload 谢谢!!! 0x01 关于闭合前方标签 首先自然是测试如何闭合前面的标签来成功插入自己的XSS代码,下面给出了几种常用的闭合 1. ’&gt;  ‘&gt;  “&gt;   “/&gt;   ‘&gt...
浅谈XSS攻击的那些事(附常用绕过姿势)
qq_42801460的博客
03-29 1348
有的时候,服务器往往会对代码中的关键字(如alert)进行过滤,这个时候我们可以尝试将关键字进行编码后再插入,不过直接显示编码是不能被浏览器执行的,我们可以用另一个语句eval()来实现。由于盗取的cookie需要传回给攻击者,因此往往需要一个服务器来接收盗取的cookie,这也就是xss平台的作用了。也就是攻击相对于访问者而言是一次性的,具体表现在我们把我们的恶意脚本通过url的方式传递给了服务器,而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本。
WEB攻防-XSS跨站&反射型&存储型&DOM型&标签闭合&输入输出&JS代码解析
siu~
09-08 221
1、XSS跨站-输入输出-原理&分类&闭合 2、XSS跨站-分类测试-反射&存储&DOM
XSS漏洞的与标签的那些个事~
kangzinian的博客
11-29 3190
XSS漏洞的与标签的那些个事~0x00(div)0x01(textarea)0x02(input)0x030x040x050x060x070x080x090x0A0x0B0x0C0x0D0x0E0x0F0x100x110x12 0x00(divdiv标签里面插入script即可 0x01(textarea) textarea内嵌js脚本,不会被执行。这个时候,我们闭合textarea标签即可 0x02(input) 借助sql注入的方法,把input标签闭合。我设计了一个点击事件,点击弹出 0x0
XSS平台的搭建
最新发布
weixin_42515203的博客
07-07 200
XSS平台的搭建
写一下xss的常用标签
03-14
XSS(跨站脚本攻击)的常用标签包括:<script>、<img>、<iframe>、<link>、<style>、<object>、<embed>、<form>等。这些标签可以被攻击者利用来注入恶意代码,从而实现攻击目的。为了防止XSS攻击,我们需要对用户输入的数据进行过滤和转义,避免恶意代码的注入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值