xss解析

最新推荐文章于 2024-05-04 23:13:08 发布
最新推荐文章于 2024-05-04 23:13:08 发布
阅读量440 收藏
点赞数
分类专栏: web安全

解析可以分为两个子过程——语法分析及词法分析

词法分析就是将输入分解为符号,符号是语言的词汇表——基本有效单元的集合。对于人类语言来说,它相当于我们字典中出现的所有单词。

语法分析指对语言应用语法规则。

解析器一般将工作分配给两个组件——词法分析器(有时也叫分词器)负责将输入分解为合法的符号,解析器则根据语言的语法规则分析文档结构,从而构建解析树,词法分析器知道怎么跳过空白和换行之类的无关字符。

然后我的理解是这样的:

<a href="javasc&NewLine;ript&colon;alert(1)">click</a>

首先html编码被还原出来 然后就成了换行 跟冒号

<a href="javasc
ript:alert(1)">click</a>

为什么换行后还能够执行 是因为浏览器中的解析器中词法分析器 起的作用会跳过空白跟换行之类的无效字符。

然后就构造成了一个完整的语句

<a href="javascript:alert(1)">click</a>

代码执行!


原文地址:http://drops.wooyun.org/tips/689


oooo丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss常用攻击语法
weixin_47156475的博客
08-11 2852
常用: <script>alert(1)</script> <img src=x onerror=alert(1)> <svg onload=alert(1)> <a href=javascript:alert(1)> <script>alter('dreeee')</script>; 用于探测的万能语句: <SCRscriptIPT>'"()Oonnjavascript 标签溢出: "> &lt
XSS解析——pikachu靶场
Aquarius_ego的博客
05-10 1184
XSS讲解——用pikachu靶场复现xss的四种危害:劫持用户cookie、框架钓鱼、挂马、键盘记录
xss的定义
tumi
04-28 533
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问...
XSS注入漏洞解析(上)
A526847的博客
05-04 873
xss的分类有3类分别是反射型XSS 你提交的数据成功的实现了XSS,但是仅仅是对你这次访问产生了影响,是非持久型攻击 存储型XSS 你提交的数据成功的实现了XSS,存入了数据库,别人访问这个页面的时候就会自动触发 DOM型XSS 主要利用DOM相关的操作,修改了页面,引发的惨案。代码分析 在反射型XSS PHP代码中,通过GET获取参数xss_input_value的值,然后通过echo输出一个input标 签,并将xss_input_value的值放入input标签的value中。
常见的XSS代码分析
weixin_33720452的博客
02-25 130
常见的XSS代码分析 1.闭合“<”,“>” 1)***者可以构建如下语句来闭合HTML标记,构造出完整无错的脚步语句 ><script>alert('XSS');</script>< 2)在提交上面代码闭合HTML代码后,出现如下的...
XSS详解(译)
yifeng_peng的博客
01-10 5618
一、XSS 概述 什么是XSS? Cross-site scripting(XSS)是一种能够在他人浏览器中执行恶意 JavaScript代码的代码注入攻击。 攻击者不需要直接接触受害者。他可以直接利用受害者访问的网站的漏洞来让恶意代码在其浏览器中执行。对于受害者的浏览器来说,恶意的 JavaScript 代码表现的就像是网站合法的一部分,而网站的行为也完全不像是攻击者的帮凶。 恶意的 JavaS...
XSS原理
weixin_45634365的博客
03-06 1292
一、XSS原理 前端基础: HTML:网页的框架 CSS:网页的化妆师 JavaScript:丰富网页功能的脚本 SQL注入:用户输入的数据被当做代码执行 XSS(前端代码注入):用户输入的数据被当做前端代码执行。 本质是传参被拼接进HTML页面,并且被执行。 复制网页:不能直接复制源码,类似于图片之类的数据无法复制,可以Ctrl+S保存,得到HTML源码和一个文件夹,文件夹包含图片与JS脚本等内容,将两个文件放入自己搭建的站点,既可复制网页。钓鱼网页也是类似的做法,将网页保存下来,进行修改,记住,前端代码
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件中的XSS攻击则是在PDF阅读器解析文档时触发恶意脚本,而不是在网页中。 SpringBoot是一个流行的Java Web开发框架,提供了丰富的安全组件。XSSFilter是用于过滤HTTP请求中可能存在的XSS攻击的一种机制。在...
xss加载但没反应——CSP简介与绕过
不想当脚本小子的脚本小子
02-08 3095
如果xss加载了但是没反应,可能是有CSP—内容安全策略——可以抓包看看有没有Content-Security-Policy 内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,明确告诉客户端(制定比较严格的策略和规则),来告诉浏览器什么是被授权执行的与什么是需要被禁止的。即使攻击者发现漏洞,但是它是没办法注入脚本的其被誉为专门为解决XSS攻击而生的神器。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。 使用 CSP 配置内容安全策略涉及到添加 Co...
xss基础知识
土拨鼠挖洞中的博客
10-03 5342
  XSS 概述 指攻击者利用网站程序对用户的输入输出过滤不足,导致恶意代码在页面执行,对受害者造成cookie资料窃取、会话劫持、钓鱼欺骗等危害;     XSS危害 1.网络钓鱼,盗取各类用户的账号,如机器登录帐号、用户网银帐号、各类管理员帐号; 2.窃取用户Cookie,获取用户隐私,或者利用用户身份进一步执行操作 3.劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、...
XSS语义分析的阶段性总结(一)
蚁景网安学院
04-20 565
前言由于X3Scan的研发已经有些进展了,所以对这一阶段的工作做一下总结!对于X3Scan的定位,我更加倾向于主动+被动的结合。主动的方面主要体现在可以主动抓取页面链接并发起请求,并且后...
xss过滤器转义和反转
那些年我们踩过的坑
01-10 7857
 apache工具包common-lang: StringEscapeUtils.escapeHtml("&lt;font&gt;测试&lt;/font&gt;") StringEscapeUtils.unescapeHtml("&amp;gt;font&amp;lt;测试&amp;gt;font&amp;lt;")                 ...
XSS学习(原理篇)
琦琦进阶之路博客
02-27 3255
学习XSS之前,我们很有必要知道XSS到底是什么东西。其英文名是(Cross Site Scripting),意思就是跨站脚本攻击,是黑客常用的攻击手段之一,因为与层叠样式表CSS(Cascading Style Sheets)同名,为了避免混淆,故将其命名为XSS。好了,现在知道了它的名字的由来之后,最重要的就是去了解XSS的实现原理。XSS实现原理因为浏览器本身的设计缺陷,浏览器只负责解释执行h
XSS入门到进阶
似水流年
11-01 1023
XSS入门到进阶 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6tcYY5nE-1604207447472)(https://raw.githubusercontent.com/Harveysn0w/MAC_note-img/main/640.jpeg)] XSS简介 XSS分类 XSS实战 XSS Fuzzing XSS WAF Bypass思路 XSS工具 XSS修复 xss简介 OWASP TOP 10 OWASP(开放式Web应用程序安全项目)的工具、文档、论坛
基于python贫困生资助管理系统带vue前后端分离设计源代码+文档说明+数据库文件
最新发布
09-01
基于python贫困生资助管理系统带vue前后端分离设计源代码+文档说明+数据库文件,含有代码注释,新手也可看懂,个人手打98分项目,导师非常认可的高分项目,毕业设计、期末大作业和课程设计高分必看,下载下来,简单部署,就可以使用。 基于python贫困生资助管理系统带vue前后端分离设计源代码+文档说明+数据库文件,含有代码注释,新手也可看懂,个人手打98分项目,导师非常认可的高分项目,毕业设计、期末大作业和课程设计高分必看,下载下来,简单部署,就可以使用。 基于python贫困生资助管理系统带vue前后端分离设计源代码+文档说明+数据库文件,含有代码注释,新手也可看懂,个人手打98分项目,导师非常认可的高分项目,毕业设计、期末大作业和课程设计高分必看,下载下来,简单部署,就可以使用。 基于python贫困生资助管理系统带vue前后端分离设计源代码+文档说明+数据库文件,含有代码注释,新手也可看懂,个人手打98分项目,导师非常认可的高分项目,毕业设计、期末大作业和课程设计高分必看,下载下来,简单部署,就可以使用。基于python贫困生资助管理系统带vue前后端分离设计源代码+文档
基于YOLOv8的路面桥梁墙体裂缝识别python源码+项目说明.zip
09-01
经导师指导并认可通过的高分设计项目。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 <资源说明> 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设或者课设、作业,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96.5分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。
弹性力学基础:应力:应力集中现象.docx
09-01
弹性力学基础:应力:应力集中现象.docx
结构力学本构模型:断裂力学模型:环境影响下的断裂力学技术教程.docx
09-01
结构力学本构模型:断裂力学模型:环境影响下的断裂力学技术教程.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值