皮卡丘xss之盲打、xss之过滤

已于 2023-05-30 21:13:43 修改
阅读量926 收藏 1
点赞数 1
文章标签: xss
于 2023-05-30 20:55:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_Mojito/article/details/130956341
版权

1.xss之盲打

我们先按照题目输入

提交后,很平常

再试试插入payload:<script>alert(1)</script>和<script>alert(2)</script> 

提交后还是不变

此时我们看提示

我们尝试访问该地址:127.0.0.1/pk/vul/xss/xssblind/admin_login.php

发现进去后是以下界面

点击Login

成功弹窗!

再点确定

发现第二个命令也成功弹窗!

再次点击确定,发现我们刚刚输入的内容被记录了下来

其本质上也是一种存储xss

2.xss之过滤

直接上最常见的payload语句:<script>alert(1)</script>

发现返回了这么一句话

说明这一题存在过滤,我们需要尝试他过滤了什么字符和如何绕过过滤。

下面再尝试

最后,还有一种常见的过滤方式,大小写绕过:

输入payload:<SCript>alert(1)</SCript>

成功弹窗!

查看了源码才发现,仅仅是对<script进行过滤:

随后再试试输入<button οnclick="alert('123')">点我</button>

也成功弹窗!

Fly_Mojito
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss基础知识点
weixin_52776876的博客
07-27 2163
​跨站脚本攻击,英文全称CrossSiteScript.​xss攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本.从而在用户浏览网页时,控制用户浏览器的一种攻击.
XSS攻击绕过过滤方法大全(转)
热门推荐
mingyqf的博客
04-20 2万+
XSS攻击绕过过滤方法大全(约100种) 虽然说很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS注入。 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录,现在此XSS备忘录将由OWASP维护和完善它。 OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Cheat She
XSS漏洞基础
m0_62092622的博客
01-22 2642
概念 XSS,跨站脚本攻击 (Cross Site Scripting),是一种经常出现在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括 HTML 代码和客户端脚本。 攻击者利用 XSS 漏洞旁路掉访问控制——例如同源策略 (same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的 phishing 攻击而变得广为人知。 对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的 “缓冲区溢出攻击 “,而 Jav
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 1329
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
pikachu靶场通关-Cross-Site Scripting(XSS)
qq_43381463的博客
02-05 225
pikachu靶场通关-Cross-Site Scripting(XSS)
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
白帽子佳奇的博客
12-12 3710
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
Web安全性测试之XSS
01-31
XSS 全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的...
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
XSS跨站点脚本攻击
11-23 273
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 以下为Java web项目中的解决方案: Filter代码: import java.io.IOException; import javax.servlet.Filter; i...
xss过滤总结
weixin_42109829的博客
12-04 3179
一。简述 一。简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序. 例如: 1.盗用cookie,获取敏感信息。 2.利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 3.利用iframe、frame、XMLHttpRequest或上述Flash等方式,以...
pikachu之XSS分类、场景(钓鱼、盲打过滤
m0_59856804的博客
12-20 1227
Xss pikachu 保存型xss 反射型、DOM型 xss钓鱼 Xss盲打 XSS过滤 XSS之htmlspecialchars Htmlspecialchars()函数 XSS之href输出 防范措施: 21
【网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 3295
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
xss 输出进行html编码,Pikachu:XSS-盲打过滤、htmlspecialchars、href与js输出
weixin_31530761的博客
06-28 574
XSS盲打:前端数据交互的地方,输入信息,输入后的结果不在前端显示,也就是只有后台能看到输入的内容,从前端无法判断是否存在XSS,这种情况下,我们直接往里面插入XSS代码,然后等待。我们先进入盲打的页面:然后在上面的文本框植入script标签,你的大名的地方随便写就可以:alert('xss') / 123然后发现并没有弹窗,没有特别的事情发生:打开右上角的“点一下提示”,里面的内容提...
过滤器防止xss攻击
yizhousai0662的博客
09-01 1112
将参数中有关xss攻击的非法字符全部处理掉。
Bug 记录
xrdshx的博客
09-15 520
Bug记录 CocosCreator打包出现 Error:Program type already present: android.support.v4.os.ResultReceiver$MyResultReceiver 解决方法: 在\build\jsb-link\frameworks\runtime-src\proj.android-studio\gradle.properties中加入下面两行 android.useAndroidX=true android.enableJetifier=true
XSS代码分析-和简单的过滤,学习笔记
ZhangAweio的博客
04-05 421
PHP环境。
xss之PHP_SELF绕过
03-29
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,它允许攻击者在受害者的网页上执行恶意脚本。而PHP_SELF是PHP中的一个超全局变量,它包含了当前脚本的文件路径和文件名。 在使用PHP_SELF时,如果没有进行适当的过滤和验证,攻击者可以通过构造恶意的输入来绕过安全措施,从而进行XSS攻击。一种常见的绕过方式是通过在URL中注入恶意的脚本代码。 为了防止XSS攻击,我们应该对用户输入进行严格的过滤和验证,并使用适当的编码方式来输出数据。在处理用户输入时,可以使用函数如htmlspecialchars()来转义特殊字符,或者使用过滤器函数如filter_input()来过滤输入数据。 另外,还可以采取以下措施来增强安全性: 1. 使用CSP(内容安全策略)来限制页面中可以加载的资源。 2. 设置HTTP头中的X-XSS-Protection选项来启用浏览器内置的XSS过滤器。 3. 使用安全的编码方式,如将用户输入作为属性值时使用引号包裹。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值