【安全】P 4-23 编码转义介绍

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量419 收藏
点赞数
分类专栏: 安全大师 文章标签: 网络安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_David_Z/article/details/113920245
版权

目录

0X01 URL编码

url的设计者,考虑到安全传输问题,防止url字符丢失,所以选用了相对较小的、通用的安全字母表。另一方面,url的设计者希望url是完整的,有时候需要url中包含除去通用安全字母表之外的二进制数据和字符(比如中文)。所以url引入了一种转义机制,将不安全的字符编码为安全字符再进行传输。
百分号编码:url编码包含一个百分号(%),后面跟着两个表示字符ASCII码的十六进制数。例如:空格转为“%20”。

0X02 html编码

一些保留字符出现在文本节点和标签值里是不安全的。比如“<>”会导致浏览器误认为标签。如果想要正确的显示这些字符,需要使用html编码。、
实体编码:一般以“&”开头,“;”结尾,可以不加“;”。如:“<”转为“<”
进制编码:以“&#”开头,加上字符的数值,“;”结尾,可以不加“;”。字符的数值可以是任意十进制ascii码或Unicode字符编码。十六进制的数值需要在编码数字前加“x”。如:“<”转为十进制的“<”或十六进制的“<”。

0X03 JavaScript编码

数字形式:\u后面加4位16进制数字(或\x后加2位16进制数字),按字符的uncode数值编码,不足位数以零填充。如:“<”转为“\u003c”或“\x3c”。其中“\u”开头的Unicode转义方式可以用在字符串之外的位置,其他的不可以。
jsfuck : http://www.jsfuck.com/
在这里插入图片描述

0X04 编码含义

浏览器对提交的编码进行自解析,执行
在这里插入图片描述
----E-----N-----D-----
😄如有问题,请各位师傅斧正,你的支持是我最大的动力。

骆驼实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
天津理工大学信息安全专业网络攻防实验3-Web攻击与防御
11-28
因此,开发者应遵循安全编码原则,对所有用户输入进行验证和清理,防止此类攻击的发生。 实验过程中,我们不仅掌握了sqlmap的基本使用,还了解到SQL注入的原理和防范措施。这对于提升信息安全意识和技能,防止现实...
javascript中如何处理引号编码#034;
12-02
如果字符串是JSON格式,可以使用JavaScript的`JSON.stringify()`方法进行编码,它会正确地转义所有特殊字符,包括引号。 ```javascript var obj = {name: "John Doe"}; var jsonString = JSON.stringify(obj); // '...
XSS漏洞基础
m0_62092622的博客
01-22 2668
概念 XSS,跨站脚本攻击 (Cross Site Scripting),是一种经常出现在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括 HTML 代码和客户端脚本。 攻击者利用 XSS 漏洞旁路掉访问控制——例如同源策略 (same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的 phishing 攻击而变得广为人知。 对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的 “缓冲区溢出攻击 “,而 Jav
xss过滤总结
weixin_42109829的博客
12-04 3345
一。简述 一。简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序. 例如: 1.盗用cookie,获取敏感信息。 2.利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 3.利用iframe、frame、XMLHttpRequest或上述Flash等方式,以...
45. XSS篇——XSS过滤绕过技巧
Fly_鹏程万里
03-20 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
xss过滤绕过方法总结
jinhezhai的博客
09-15 9957
xss注入常用语句、 1.<script>alert(1)</script> 2.<img src="#" onmouseover="alert(11)"> 3.<img src="#" onerror="alert('xss')"> 4.<svg onload=alert(1)> 5.<a href=javascript:alert(1)> 1.尝试双写绕过 2.大小写绕过、 3.js编码#unicode js的一种编码方式。 4.h
XSS绕过和防御总结
m0_72324809的博客
04-30 720
<a xlink:href= javascript:alert(1)>1</a>
JS实现HTML标签转义及反转义
11-26
本文将详细介绍如何使用JavaScript来实现这一功能。 首先,我们要理解`innerText`和`innerHTML`这两个属性的区别。`innerText`用于获取或设置元素的纯文本内容,它会忽略HTML标签。而在`innerHTML`上,我们可以获取...
Go-bluemonday:一个快速的HTML有害内容清除Golang库
08-14
例如,你可以允许`<p>`和`<a>`标签,但不允许`<script>`和`<iframe>`等可能引入恶意代码的标签。同时,你还可以控制哪些属性是安全的,比如在`<a>`标签中只允许`href`属性,不允许`onclick`等可以执行JavaScript的...
Laravel开发-laravel-blade
08-28
### 4. **Blade 组件与插槽** Blade 的组件(Components)和插槽(Slots)是构建可复用视图元素的关键。组件可以通过定义一个类并使用 `@component` 指令来创建,而插槽则用于插入组件内部的内容。 ```blade @...
xss漏洞的认知
lizhiguoq的博客
08-04 631
** xss漏洞的认知 ** XSS 同源策略 javaScript中的同源,需要对比 两者中的协议、域名、端口。三者完全相同才认为是同源的,否则即是来自不同源的内容。 Xss概念 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 用户提交的数据没有过滤,或者过滤不严格,输出到网页中 ,导致可以构造执行...
文件上传<?被过滤的解决方法
东隅的博客
05-26 2590
可以使用伪协议,.htacess里伪协议读入,写的图片马用base加密。 AddType application/x-httpd-php .abc php_value auto_append_file "php://filter/convert.base64-decode/resource=shell.abc" 把后缀.abc当作php解析,然后shell.abc的内容用base64加密。比如<?php phpinfo();?>加密变成PD9waHAgcGhwaW5mbygpOz8+ .
xss绕过
weixin_43271438的博客
09-29 1633
1. 利用html标签的属性值 利用场景:标签支持JavaScript:code伪协议 对应防御:过滤JavaScript关键字 &lt;iframe src=javascript:alert(1)&gt; &lt;a href=javascript:alert(1)&gt; 文本&lt;/a&gt; " &gt;&lt;svg x="" Onclick=alert(1)&gt; 注释: # ...
编程中那些防转义转义的技巧汇总
G探险者的博客
07-17 222
大家好,我是G探险者。今天我们聊一聊转义和防转义的那些事儿。在编程过程中,我们常常需要处理特殊字符和特定上下文,以确保生成的内容在正确的环境中能够被解析和显示。有时我们需要防止转义,保留特殊字符的原始含义;而在其他情况下,我们需要进行转义,将特殊字符转换为适当的格式。本文将介绍一些常见的防转义或者转义处理的编程技巧,并提供相应的示例代码。
XSS绕过经验总结
weixin_46622976的博客
10-20 2096
XSS经验总结
XSS注入方式和逃避XSS过滤的常用方法
热门推荐
yinqiaohua的专栏
08-01 3万+
转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤的解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 1724
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
XSS漏洞
weixin_38748673的博客
06-25 279
将JavaScript代码添加到客户端的方法是把它放置在伪协议说明符JavaScript:后的url中,这个特殊的协议类型声明了url的主体是任意的JavaScript代码,它由JavaScript的解释器运行,如果JavaScript:url中的JavaScript代码含有多个语句,必须使用分号将这些语句分隔开。是为了解决传统的字符编码方案的局限而产生的,他的每种语言中的每个字符设定了统一并且唯一的二进制编码,以满足跨语言、跨平台进行文本转换、处理的要求。嵌入的表达式会被计算并通常连接到周围的文本中。
[ 常见漏洞篇 ]常见web漏洞总结------XSS绕过方式
qq_51577576的博客
12-06 3717
本文具体写到了常见的XSS绕过方式,间的的介绍了一下修复方式 写的比较细,比较深,需要一定的基础才能看懂,仔细读完 不懂的可以百度查一查或者私信我,相信会有很大收获 目录 一、Xss绕过方式: 1. 前端过滤 2.双写绕过 3. 事件绕过 4. 大小写绕过 5. 注释干扰绕过 6.伪协议绕过 7.空格回车Tab绕过 8. 编码绕过 1. base64编码: 2. JS编码: 3. 十六进制: 4. unicode: 5. HTML实体编码: 6. URL...
el-input 加上v-html标签转义后无法输入
11-14
如果需要输入 HTML 标签,可以使用 el-textarea 组件,并设置 :autosize="{minRows: 2,maxRows: 4}" ... <el-textarea v-model="inputValue" :autosize="{minRows: 2,maxRows: 4}"></el-textarea> </el-form-item> ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值