XSS过滤实操

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量1k 收藏 5
点赞数 3
分类专栏: 渗透学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHUNJIUJUN/article/details/119572739
版权

第一关——直接输出

第二关——value

第二关需要闭合value,看源码应该是用双引号闭合的,但是发现不行,于是用单引号闭合试了试竟然可以,可能是环境问题吧。。。

第三关——xss过滤简单

   input没有闭合,而且alert没了被过滤了

成功

第四关——xss简单过滤

 报错了,说明我们输入的某些语句触发了报错,一点一点删除语句尝试看看哪里错了

 发现删除alert()函数不报错了,说明程序设置了使用alert报错,我们换个confirm()弹窗语句试试

还得闭合input

  成功

 第五关——xss过滤稍难

还是需要闭合input,发现onmouseover()函数少了on,alert也没了,但是alert没报错,猜测都是被过滤了,双写它们,这里注意如果你用的是confirm()弹窗语句,那么confirm之间的on也需要双写

 成功

第六关——xss过滤困难

闭合input ,发现我们输入的什么都没有了,猜测要么是全部过滤了要么是过滤了最优先级的标签,我们删除image标签,直接引用函数

 

 

 还是不行,猜测on和alert也被过滤了

 双写还是不行,猜测是强过滤,这里分析如果image出现以后被过滤,那么就不会过滤下一个了,即顺序过滤,所以把image插入on和alert

 成功

 第一关

 后边几个题和前边的题型差不多,就不演示了

tacooo
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
xss过滤方案
08-10
Web 应用XSS 过滤方案
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
白帽子佳奇的博客
12-12 3710
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
皮卡丘xss之盲打、xss过滤
Fly_Mojito的博客
05-30 926
皮卡丘xss之盲打、xss过滤
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 1329
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
过滤器防止xss攻击
yizhousai0662的博客
09-01 1112
将参数中有关xss攻击的非法字符全部处理掉。
45. XSS篇——XSS过滤绕过技巧
Fly_鹏程万里
03-20 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
安全基础 --- 过滤情况下实现弹窗展现
weixin_62443409的博客
09-21 3952
从代码中可看出,过滤了(`),('),("),(+),(-),(!以及 过滤了弹窗函数alert,confirm,prompt这三个。解析一个字符并返回指定基数的十进制整数,radix是2-36之间的整数,表示被解析的字符串基数。PS:弹窗最常用的三个函数,为alert,confirm,prompt,都可实现弹窗。直接调用此构造函数可用动态创建函数,创建的函数只能在全局作用域中运行。可看出location.hash是取url中#后面的部分。利用30进制来绕过。
php实现XSS安全过滤的方法
10-23
主要介绍了php实现XSS安全过滤的方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
xss测试代码大全javascript中的xss过滤
03-24
xss测试代码大全
【web-ctf】ctf-pikachu-XSS
一个努力生活的人的博客
06-27 2346
XSS-pikachu
XSS攻击过滤器实现
EvanDeveloper的专栏
07-12 1637
一、XSS简介 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类 xss攻击可以分成两种类型: 非持久型攻击 持久型攻
XSS漏洞学习小结
dayouzi的博客
08-29 164
XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有Java、VBScript、ActiveX、 Flash或者甚至是普通的HTMLt等,当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。当应用程序没有对用户提交的内容进行验证和重新编码,而是直接呈现给网站的访问者时,就可能会触发XSS攻击,
XSS攻击过滤函数
weixin_33979745的博客
03-27 330
黑客用XSS攻击有多种方式,PHP的内置函数不能应对各种各样的XSS攻击。因此,使用filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags等功能也不能做到100%的防护。你需要一个更好的机制,这是你的解决方案: &lt;?phpfunction xss_clean($data){// Fix &am...
xss绕过
weixin_51692662的博客
08-19 2562
xss绕过
xss过滤技巧
Richard_qi的博客
04-11 3576
xss过滤技巧(个人记录) 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 关闭标签 有时候我们需要关闭标签来使我们的XSS生效。 比如:“><script>alert(“Hi”);</script> 使用hex编码绕过 我们可以对我们的语句进行hex编码来绕过X
xss过滤绕过方法总结
jinhezhai的博客
09-15 9697
xss注入常用语句、 1.<script>alert(1)</script> 2.<img src="#" onmouseover="alert(11)"> 3.<img src="#" onerror="alert('xss')"> 4.<svg onload=alert(1)> 5.<a href=javascript:alert(1)> 1.尝试双写绕过 2.大小写绕过、 3.js编码#unicode js的一种编码方式。 4.h
XSS注入方式和逃避XSS过滤的常用方法
热门推荐
yinqiaohua的专栏
08-01 3万+
转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤的解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行
Springboot xss过滤
07-28
回答: 在Spring Boot中实现XSS过滤可以通过创建自定义过滤器来实现。首先,在Spring Boot启动类中添加过滤器扫描的注解`@ServletComponentScan("com.cpic.config.xss")`,这个注解指定了自定义过滤器的位置。同时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值