JavaScript绕过

最新推荐文章于 2024-05-13 21:19:30 发布
最新推荐文章于 2024-05-13 21:19:30 发布
阅读量526 收藏 5
点赞数 17
文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Whatsoever1/article/details/136247329
版权

前端JavaScript绕过

前端 JavaScript(简称 JS) 防护是通过调用JS 脚本对上传文件进行校验的一种防护方法。其最显著的特点, 就是文件的校验发生在用户侧,大多数情况下是在用户的浏览器端(利用PC或移动设备都可以)。

<script type="text/javascript">

function checkFile() {

var file = document. getElementsByName('upload_file')[0]. value;

if (file ==null|| file=="”) {

alert("请选择要上传的文件!");

return false;

}

//定义允许上传的文件类型

var allow_ext ="·jpg|. png|. gif";

//提取上传文件的类型

var ext_name = file. substring(file. lastIndex0f("."));

//判断上传文件类型是否允许上传

if (allow_ext. index0f(ext_name) == -1) {

var errMsg = "该文件不允许上传, 请上传" + allow_ext + "类型的文件,当前文件类型为: " + ext_name;

alert(errMsg);

return false;

}

}

</script> 这种防护的绕过方式非常简单,只需要关闭浏览器端的 JS 解析即可。但对于不同的浏览器, 其关闭方式也不同。例如, 对于FireFox,想要关闭JS解析, 需要在地址栏输入“ about:config”, 然后在设置里找到“Javascript”选项, 将其值设置为“False”(默认为True)。此外, 也可以通过Burp Suite 抓包/改包的方式, 先将文件的扩展名修改为符合脚本要求的格式(例如. jpg、. png或者. gif),然后通过 Burp Suite抓包修改扩展名的方式绕过。

 在JavaScript 文件上传防护中, 由于对上传文件的检测发生在客户端, 因此是一种不安全的文件上传防护方式,攻击者可以很轻松地绕过。虽然这种防护方式可以减少服务器的资源消耗, 但并不推荐读者在日常中使用。

Tian.An
关注
  • 17
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
常见html中的绕过标签,技巧集合
weixin_41821465的博客
04-28 496
在学习编码绕过时由于数量多,类型相似,不太容易记得住,记得全,故做此记录。1。
javascript --- > [jsonp] script标签的妙用(绕过同源限制)
栗子好好吃的博客
02-04 852
1. 同源 1.1 什么是同源 协议、域名、端口号相同 1.2 为什么有同源政策 同源政策是为了保护用户信息的安全,放置恶意的网站窃取数据。最初的同源政策是指A网站再客户端设置的Cookie,B网站是不能访问的. 随着互联网的发展,同源政策也越来越严格,在不同源的情况下,其中有一项规定就是无法向非同源地址发送Ajax请求,如果请求,浏览器就会报错 2. jsonp jsonp是json with...
JS变异小技巧:使用JavaScript全局变量绕过XSS过滤器
systemino的博客
07-29 629
什么是JavaScript全局变量? JavaScript全局变量在函数外部声明或使用window对象声明,它可以通过任何函数访问。 假设你的目标Web应用程序容易受到映射到JavaScript字符串或JavaScript函数中的XSS的攻。 例如,下面的PHP脚本: echo"<script> varmessage='Hello".$_GET["name...
JS前端绕过
看着博客敲代码
06-26 2955
web应用对用户上传的文件进行了校验,该校验是通过前端JavaScript代码完成。恶意用户对前端JavaScript进行修改或通过抓包软件篡改上传文件的格式,就能绕过基于JS的前端校验。
文件上传绕过方法总结(入门必看)
qq_65165505的博客
05-13 1934
常见文件上传绕过方法的总结
87.网络安全渗透测试—[常规漏洞挖掘与利用篇3]—[xss测试-10种绕过技巧]
qwsn
01-26 4863
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss测试-10种绕过技巧 1、大小写绕过:`script标签一次匹配` 2、复写绕过(属性多余):`script大小写标签一次匹配` 3、转换标签绕过:`sciprt标签禁用` 4、转换方法绕过:alert方法禁用 5、手工闭合绕过:`既定的script标签` 6、手工闭合+单引号绕过:既定的scirpt标签+htmllentities默认参数 7、dom输出+hash属性+substring方法-弹窗: 8、ph
JavaScript实现栈
咩羊的博客
07-25 158
1.数据结构定义 在计算机中,存储和组织数据的方式。 注:数据结构与语言无关。 1.1常见的数据结构: 数组(Aarray)栈(Stack)链表(Linked List)图(Graph)散列表(Hash)队列(Queue)树(Tree)堆(Heap) 2.算法(Algorithm) ​ 一个有限指令集,每条指令的描述不依赖于语言 接受一些输入(有些情况下不需要输入) 产生输出 一定在有限步骤之后终止 注:数据结构的实现,离不开算法。 3.栈结构(Stack)—后进先出(LIFO) 是一种受限的线性
JavaScript入门
The_last_knight的博客
02-01 594
JavaScript入门 JavaScript在HTML代码中的书写位置   JavaScript书写的位置有三个: &lt;script&gt;标签内 HTML标签内 在js文件中,需要以该种方式引入&lt;script src="js文件的路径"&gt;   需要注意的几个问题: 如果一对script标签内的某行代码有问题,那么该标签内的该行代码后的代码不会被执行。 script标签之间...
JavaScript禁用右键单击优缺点分析
12-01
更有经验的用户很容易就能绕过禁用右键的问题,而访问大部分网页代码本身就是web浏览器的一个基本功能,根本不需要右键。 缺点 有很多方法可以绕过“没有右键脚本”,而实际上,这种脚本的唯一效果就是惹恼那些在web...
JavaScript自动点击链接 防止绕过浏览器访问的方法
10-20
下面小编就为大家带来一篇JavaScript自动点击链接 防止绕过浏览器访问的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JavaScript_为绕过IDS检测而构建的往返模糊HTTP文件传输设置.zip
最新发布
05-20
在"JavaScript_为绕过IDS检测而构建的往返模糊HTTP文件传输设置.zip"这个压缩包中,我们可能涉及的主题是利用JavaScript进行隐蔽的HTTP文件传输,以规避网络入侵检测系统(IDS)的检测。 首先,我们需要理解IDS...
linkvertise-bypass:Linkvertise绕过脚本
05-30
在Linkvertise绕过脚本中,JavaScript被用来解析和操纵网页元素,以模拟用户行为或者利用服务的潜在漏洞,从而达到绕过广告或注册墙的目的。这通常涉及对HTTP请求的拦截、分析以及响应的篡改,以确保用户能够无阻碍...
绕过被封qq空间
10-27
本教程将探讨如何通过特定的技术手段“绕过被封的QQ空间”,以获取登录信息,包括SID、skey、P_skey和superkey。 首先,我们要理解这些关键标识符的作用。SID(Session ID)是会话标识,用于识别用户的一次在线会话...
绕过Javascript检查
dlz00001的博客
06-10 204
如今,Web应用程序提供注册页面时,通常会复制密码字段(有时甚至是电子邮件字段)。 通过两次输入密码,它可以确保您没有输入任何错误。 并且您下次尝试登录时不必重置密码。 如果您实际输入密码,这是有道理的。 我,我正在使用密码管理器。 这意味着,我将两次从密码管理器获取的密码进行复制粘贴。 到目前为止,一切都很好。 现在,一些Web应用程序假定人们确实输入了密码。 更糟糕的是,这些应用程...
xss绕过
weixin_51692662的博客
08-19 2600
xss绕过
渗透学习-学习记录-利用浏览器的开发者工具实时修改网页前端JS代码(实现绕过
qq_43696276的博客
01-16 6455
最近学习了一些有关于JS脚本搭建网站方面的安全知识。通常来说JS是前端的页面代码,因此我们可以直接修改前端的JS代码来实现绕过,故我试着做了一下利用浏览器的开发者工具进行尝试修改页面,以此来直接进行绕过的实验,特此记录。
绕过JavaScript debugger三种解决方法
wh445306
12-21 9986
最近网上挺火的一段加密混淆JS,格式化展开后有300多行,目的是解析生成一个cookie,不携带cookie,就不能加载网页源码,典型的反爬虫操作。 看后觉得好使的请记得点赞哦!烧鸡么么哒!谢谢:) JS会自动监视是否打开了调试器,如果打开了,就会调用下面这个很恶劣的递归死循环函数,从0开始累加调用,不断弹出debugger窗口,直到你电脑卡死,浏览器崩溃 第一种反调试解决方法: ...
js绕过漏洞学习
weixin_74012678的博客
07-20 869
JS绕过是指利用各种技术手段绕过网站或应用程序中使用的JavaScript代码的安全性措施。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8348
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
xss绕过技术 it168文库
07-29
4. JavaScript绕过:攻击者可以利用JavaScript的一些特性和漏洞,如eval()函数、setTimeout()函数等,来执行恶意脚本,并绕过网站的安全检测。 为了有效防御XSS攻击,网站开发人员应采取以下措施: 1. 输入过滤和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值