【安全】P 4-12 Javascript伪协议触发XSS

最新推荐文章于 2024-03-26 22:04:46 发布
最新推荐文章于 2024-03-26 22:04:46 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: 安全大师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_David_Z/article/details/113888500
版权

javascript伪协议 XSS漏洞 href属性 Payload 跨站脚本
关键词由CSDN通过智能技术生成

目录

0X01 javascript伪协议介绍

将javascript代码添加到客户端的方法是把它放置在伪协议说明符javascript:后的URL中。这个特殊的协议类型声明了URL的主体是任意的javascript代码,它由javascript的解释器运行。如果javascript:URL中的javascript代码含有多个语句,必须使用分号将这些语句分隔开。

javascript:var now = new Date(); "<h1>The time is:</h1>" + now;

javascript URL还可以含有只执行动作,但不返回值的javascript语句。

javascript:alert("hello world!")

0X02 XSS漏洞发现

设置特殊字符串提交,在响应中寻找。
在这里插入图片描述

0X03 a链接标签属性href介绍

< a > 标签定义超链接

最低0.47元/天 解锁文章
骆驼实验室
关注
专栏目录
XSS攻击
weixin_45735361的博客
02-25 413
实验环境介绍 地址:https://xss-quiz.int21h.jp/ 该网址是一个可用于XSS攻击的靶场 探测XSS过程 1.构造一个不会被识别为恶意代码的字符串提交到页面中 2.使用浏览器审查工具进行代码审查,寻找构造的字符串是否在页面中显示 闭合文本标签利用XSS 简单的payload <script>alert(document.domain);</script...
javascript伪协议
owen42087743的专栏
06-27 925
javascript伪协议: 就是使用a标签的href属性来运行javascript的方法, [code="java"]
XSS伪协议
最新发布
csjjjd的博客
03-26 1512
a标签的href属性是一个常见的用户可控输入点,攻击者可以尝试利用这个属性来进行XSS攻击。常见的XSS攻击中会利用a标签的href当用户点击这个链接时,将执行JavaScript代码')
XSS篇——javascript:伪协议
weixin_50464560的博客
05-07 6576
一、前言 今天,遇到一个别人挖的坑,问题是这样的。 做了一个列表页,可以筛选数据,有很多筛条件。主要是有input复选框和<a>标签两种。如图:     其中房价的筛选条件使用<a>标签,代码如下 1 <a href="javascript:;" name="price">150元-300元</a>   用javascript:; 来阻止了a标签跳转链接。 但是,却发现在IE下面点击a标签,居然清除了其他input复选框.
XSS学习笔记(未完)
星落
11-01 1337
XSS学习笔记
第八节 Javascript伪协议XSS-01
09-15
"第八节 Javascript伪协议XSS-01" Javascript伪协议是一种特殊的协议类型,它可以将javascript代码添加到客户端,javascript伪协议的URL中包含javascript代码,浏览器会将其解释为javascript语句,并执行之。...
Javascript伪协议XSS攻击实例与防御
本节内容主要围绕"第八节 Javascript伪协议XSS-01"展开,讲解了JavaScript伪协议在Web攻防中的应用和相关的XSS(跨站脚本攻击)问题。首先,我们来理解什么是javascript伪协议。这种特殊的网络协议类型允许在URL中...
web--xss:web安全xss攻击、以及如何防范
05-18
Web XSS(跨站脚本)攻击是网络安全领域中一种常见的威胁,主要针对Web应用程序。XSS攻击通过在用户的浏览器中...通过理解XSS的工作原理,结合JavaScript的知识,我们可以构建更安全的Web应用,保护用户的信息安全
利用Express模拟web安全之---xss的攻与防
01-26
攻击者利用XSS漏洞向网页中插入恶意的JavaScript代码,当用户访问这些被篡改的页面时,恶意脚本会执行,从而对用户的安全造成威胁。XSS攻击的危害广泛,包括盗取用户账号、控制企业数据、盗窃敏感信息、强制发送邮件...
XSS -- 三种基本漏洞 (浅谈)
thj_blog
11-13 7265
一、  XSS 漏洞的验证         我们可以用一段简单的代码,验证和检测漏洞的存在,这样的代码叫做PoC(Proof of Concept)。验证XSS 漏洞存在的PoC 如下:               (1)&lt;script&gt;alert(/xss/)&lt;/script&gt;                      (2)&lt;script&gt;confirm('...
安全攻防之XSS
程序员阿飘 的博客
03-04 972
在万物互联的时代,数据安全与个人隐私受到前所未有的挑战,各种攻防策略层出不穷,深入了解攻防底层的原理刻不容缓。本文旨在将日常开发上遇见的问题作总结,通过不断补全安全攻防方面的知识,形成对安全攻防体系有良好的运用。
xss靶场通关
爱吃仡坨的Blog
09-27 483
1、利用标记,构造标签执行JavaScriptxss代码2、利用html标签属性支持Javascript:script()伪协议(支持标签属性的有href、lowsrc、bgsound、background、value、action、dynsrc等)、执行xss代码3、利用JavaScript在引号中只用分号分割单词或强制语句结束,用换行符忽略分号强制结束一个完整的语句,而忽略回车、空格、tab等键、绕过对javascript的关键字过滤,
XSS攻击的解决方法
weixin_33877092的博客
02-28 861
在我上一篇《前端安全XSS攻击》文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以干的事。 前提 在说XSS解决方式时,有一个前提。就是同源策略——浏览器的同源策略(浏览器安全的...
利用伪协议与默认所有的变量都会被escape进行XSS
weixin_34119545的博客
01-05 730
摘自《白帽子讲Web安全》<ahref="javascript:alert(1);">test</a><IMGsrc='vbscript:msgbox("XSS")'><ahref="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=">test</a...
HTML中可能使用为协议造成XSS 的属性
JackLiu16的博客
12-23 1158
新思路: 1、服务端可以过滤敏感标签 2、使用html 属性 为协议javascript:[code] 3、若服务端过滤关键字,可以通过空格回车Tab 等加载在关键字中间通过过滤,因为js语句结束是分号,所以浏览器加载引擎会继续发现这些分隔号后面的内容。 4、HTML属性值本身支持ASCII编码,也可以通过编码绕过过滤(其他编码格式base64) 5、还可以通过标签事件来触发XSS,如:
xss漏洞简析(干货)
Haowill的博客
06-23 5007
xss漏洞 获取cookie: 指向其他url: HTML事件触发XSS:<svg onload/οnclick=“alert(document.domain);”> javascript伪协议javascript:alert(document.domain); 列: xss漏洞介绍 跨站脚本攻击(cross site scripting),缩写xss 恶意攻击者往web页面里插入script代码,当用户浏览该页面时,嵌入到其中web页面的script代码就会执行,从而达到恶意攻击者攻击用
XSS常见问题
oxygensss的博客
12-08 2964
XSS的原理分析与解剖常见问题 1.xss的本质是什么 我们的传参被拼接进HTML页面,并且被执行。 2.xss如何执行 通过拼接恶意的html代码,js语句来执行攻击,实际上为html代码注入 3.xss作用 盗用cookie,得到内网ip,获取保存的密码等 4.如何检测xss 通过一个经典语句窗检测 5.xss还可以通过什么来执行 通过事件,伪协议来执行 6.伪协议是什么 一种不同与真实协议协议,只有关联应用才可以用(例如:javascript:alert(1)) 7.事件是什么 这里的事件就是指j
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值