复现20字符短域名绕过以及xss相关知识点

于 2022-07-30 15:53:54 发布
阅读量105 收藏
点赞数
文章标签: xss 前端 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/StriverNumber1/article/details/126073049
版权

复现20字符短域名绕过以及xss相关知识点
1、HTML实体编码
一个HTML解析器作为一个状态机,他从输入流中获取字符并且按照转换规则转换到另一种状态。
在解析的过程中会经过4个状态
在这里插入图片描述
2、字符实体

字符实体是一个转义序列,他定义了一班无法在文本内容中输入的单个字符或符号。一个字符实体是以&开始,后面跟着一个预定义的实体名称,或者是一个#以及字符的十进制数字。

3、HTML字符实体编码
在HTML中,默写字符是预留的,比如说html中不可以使用“<”和“>”;因为浏览器可能会误认他们是标签的开始或者结束。所以在html中应该使用对应的字符实体。在HTML实体编码中可能有一些字符是没有实体名称的,但是我们可以用实体编号来引用。

4、字符引用
字符引用包括字符值引用和字符实体引用;字符值医用对应这符号的实体编号,而字符实体引用对应的是实体名。字符实体引用也被叫做“实体引用”或者“实体”。
HTML中的五类元素

1)空元素;不能容纳任何内容(因为他们没有闭合标签,没有内容能够放在开始标签和闭合标签中间)比如说< area >,< br>,< base >等等
2)原始文本元素;原始文本元素是可以容纳文本的。有< script>,< style >
3)RCDATA元素,可以容纳文本和字符引用。有< textarea >和< title >
4)外部元素;可以痛啊文本,字符引用,CDATA段以及其他元素注

最低0.47元/天 解锁文章
落叶依缘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss相关知识点复现20字符域名绕过
lin152235的博客
07-30 1050
存储型xss会把用户输入的数据存储在服务器端,这种sxx具备很强的稳定性,常见的场景就是,黑客写下一篇包含恶意js脚本的博客,其他用户浏览包含恶意js脚本的博客,会在他们浏览器上执行这段恶意代码。这类XSS非按照数据是否保存在服务的来划分的,DOMXSS与反射性XSS、存储型XSS的主要区别在于DOMXSSXSS代码不需要服务端解析响应的直接参与,触发XSS的是浏览器端的DOM解析。①用户向服务器上提交的信息要对URL和附带的HTTP头、POST数据等进行查询,对不是规定格式、长度的内容进行过滤。....
20字符域名绕过xss相关知识点
Alemon7777777的博客
07-26 402
HTML中,默写字符是预留的,比如说html中不可以使用“”;一个字符实体是以&开始,后面跟着一个预定义的实体名称,或者是一个#以及字符的十进制数字。字符引用包括字符值引用和字符实体引用;字符值医用对应这符号的实体编号,而字符实体引用对应的是实体名。1)字符串中当Unicode转义序列存在再字符串中的时候,他只会被解释为正规字符,而不是单引号,双引号等一些其他能够打破字符串上下文的字符。观察源文档,直接输出URL的地址,用的是add方法,过滤了两端的格,默认了必须填写,默认长度为45。...
XSS知识点20字符域名绕过
qq_56970600的博客
07-26 702
XSS知识点20字符域名绕过
PHP实现留言本-内含源码以及设计说明书(可以自己运行复现).zip
最新发布
05-08
主要知识点包括: 1. **PHP基础语法**:了解PHP的基本结构,如变量声明、条件语句(if...else)、循环(for、while)以及函数的使用。 2. **表单处理**:通过HTML创建表单,用户填写姓名、邮箱和留言内容,然后...
简单模拟XSS攻击.zip
07-05
通过这个设置,我们可以深入探讨以下几个知识点: 1. **Node.js**:Node.js是一个基于Chrome V8引擎的JavaScript运行环境,允许开发者在服务器端使用JavaScript编写代码,实现全栈开发。 2. **Express框架**:...
Natas_solutions:在此仓库中,将显示我的答案以及如何解决Natas
03-12
在学习 Natas_solutions 中的内容时,你将学习到以下关键知识点: 1. **HTTP 协议基础**:了解请求方法(GET、POST、PUT 等)、HTTP 头部、状态码和响应体。 2. **PHP 语言特性**:理解变量、字符串操作、数组处理...
Web安全深度剖析(张柄帅)
07-25
《Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web应用程序中存在的漏洞,防患于未然。 《Web安全深度剖析...
spartafn-site-cracked
05-08
HTML安全方面,以下是一些关键知识点: 1. **XSS(Cross-Site Scripting)攻击**:这是常见的Web应用安全漏洞,攻击者可以通过在用户输入字段中插入恶意脚本来执行。防止XSS攻击的方法包括使用HTTP头部的Content-...
(可以绕过只能填20字符的限制了)输入框长度在XSS测试中如何绕过字符长度限制
weixin_50464560的博客
07-12 1698
大家好,这是我编写的第一篇文章,之所以会分享这个故事,是因为我花了几个晚上的时间,终于找到了解决某个问题的方法。故事如下:几个月前,我被邀请参加一个非公共的漏洞悬赏项目,在初期发现了一些漏洞后,就再无收获。而在最后5天里,出于对金钱的渴望,我告诉自己必须在整个项目结束之前再找到一些漏洞,因此我又从头开始梳理整个目标。这个目标是一个大型的社交网络,而转折就发生在我去创建一个新的帐户时。当我在用户名处输入一个XSS的payload时,特殊字符全不能输入,而且长度限制为20字符。此时,我没有太好的办法,只能去寻
XSS测试中如何绕过字符长度限制
NOSEC2019的博客
11-22 1231
大家好,这是我编写的第一篇文章,之所以会分享这个故事,是因为我花了几个晚上的时间,终于找到了解决某个问题的方法。故事如下: 几个月前,我被邀请参加一个非公共的漏洞悬赏项目,在初期发现了一些漏洞后,就再无收获。 而在最后5天里,出于对金钱的渴望,我告诉自己必须在整个项目结束之前再找到一些漏洞,因此我又从头开始梳理整个目标。 这个目标是一个大型的社交网络,而转折就发生在我去创建一个新的帐户时。 当我...
突破XSS字符数量限制执行任意JS代码
weixin_34004750的博客
03-19 175
一、综述 有些XSS漏洞由于字符数量有限制而没法有效的利用,只能弹出一个对话框来YY,本文主要讨论如何突破字符数量的限制进行有效的利用,这里对有效利用的定义是可以不受限制执行任意JS。对于跨站师们来说,研究极端情况下XSS利用的可能性是一种乐趣;对于产品安全人员来说,不受限制的利用的可能是提供给开发人员最有力的证据,要求他们重视并修补这些极端情况下的XSS漏洞。 突破的方法有很多种,但是突破的...
XSS测试中如何绕过字符长度限制(续)
NOSEC2019的博客
12-03 1308
在以前的NOSEC文章中,曾发布过一个在20字符限制下进行XSS攻击(引入外界XSS脚本)的文章(https://nosec.org/home/detail/3206.html)。而本文作者对其中原理进行深入了研究,找到了更多相关payload。 跨站脚本(XSS)是在Web渗透测试中发现的最常见的漏洞之一。但是,根据注入点的位置不同,对攻击字符可能会存在各种限制。而在这篇文章中,将展示利...
xss绕过字符过滤_在XSS测试中如何绕过字符长度限制(续)
weixin_30399511的博客
01-04 262
在以前的NOSEC文章中,曾发布过一个在20字符限制下进行XSS攻击(引入外界XSS脚本)的文章(https://nosec.org/home/detail/3206.html)。而本文作者对其中原理进行深入了研究,找到了更多相关payload。跨站脚本(XSS)是在Web渗透测试中发现的最常见的漏洞之一。但是,根据注入点的位置不同,对攻击字符可能会存在各种限制。而在这篇文章中,将展示利用uni...
xss绕过字符过滤_XSS 绕过WAF和字符限制
weixin_34357232的博客
12-27 859
  翻译文章,原文: https://medium.com/bugbountywriteup/xss-waf-character-limitation-bypass-like-a-boss-2c788647c229几个月前,我在我的Twitter中分享了一个然后XSS WAF和字符限制的方法,这是一个私人的赏金项目。今天我将要分享更多的关于如何绕过的技术细节。希望对大家有所帮助。回到2019年,我...
突破XSS字符数量限制执行任意JS代码(转)
weixin_30809333的博客
03-23 294
==Ph4nt0m Security Team== Issue 0x03, Phile #0x04 of 0x07 |=---------------------------------------------------------------------------=||=-------------------=[ 突破XSS字符数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值