XSS 的绕过和防御

最新推荐文章于 2024-05-29 19:11:35 发布
最新推荐文章于 2024-05-29 19:11:35 发布
阅读量1.3k 收藏 7
点赞数 1
分类专栏: 渗透测试 代码审计 文章标签: xss domxss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fageweiketang/article/details/89426806
版权

0x00:简介

最近在整理 TOP10 的审计点,上篇文章介绍了 A3XSS 问题,这里的 TOP10 是以 2013 的来记录的,对于 XSS 因为篇幅原因上篇只记录了一些示例代码,这篇顺便补充一下 XSS 的绕过和防御。

0x01:绕过

XSS 绕过方法很多,涉及到的面也非常广泛,我们这里只记录常见的一些绕过方式。

1,最基本的就是利用 <> 来写入 html 和 js 代码,例如以下示例。

<script>alert(1);</script>

所以对于防 xss 首先就需要过滤和转义 <、>、<script>等字符。

2,利用 html 标签属性值来执行 xss,很多 html 标签的属性都支持 javascript:[code] 伪协议的形式,其声明了用 js 来执行 code 代码,例如以下示例。

<table background="javascript:alert(1)"></table>
<img src="javascript:alert(1);">

当然并不是所有的浏览器都会这样执行,有些浏览器并不支持 js 伪协议,所以这种方式有其局限性,我们示例就使用这种伪协议了,当然 script、on 等关键字都同样适用,同时我们也可以看见,防御 xss 一定要过滤 js 的关键字。

3,空格回车 Tab 方式,如果程序把敏感字符和关键字进行了过滤,那么我们可以利用空格、回车、Tab 等来尝试绕过,例如以下示例。

<img src="javas    cript:alert(1)">
<img src="javas__    cript:__    alert(1)">

以上第一个在 javascript 中插入了 tab 键,第二个使用了回车,除了 tab 我们也可以使用回车空格等,在 script 和各种 on 事件中也可以使用,js 解析时会以分号来判断一个语句是否结束,所以添加空格、回车、tab 等并不会影响语句的正常执行。

4,对标签属性值进行转码,在 html 的属性中是支持 ASCII 码的,因为计算机只能接受数字信息,所以 ASCII 码会将字符作为数字来表示,例如以下示例。

<img src="javascript:alert(1);">
<img src="javascrip&#116&#58alert(1);">

t 的 ascii 码为 116,:的 ascii 码为 58,以上是转码后的效果,同理,以下代码同样会生效。

<img src="&#34;&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;&#59;&#34;&#47;">
<img
最低0.47元/天 解锁文章
aFa攻防实验室
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XSSBypass:XSS绕过技术
05-17
XSS绕过技术是安全研究人员和黑客为了测试或利用这些漏洞而发展出的一系列策略。 1. **理解XSS类型** - 存储型XSS:攻击者的脚本被存储在服务器上,然后在多个用户访问同一页面时触发。 - 反射型XSS:脚本通过URL...
记录几种XSS绕过方式1
08-03
XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者...了解并防御这些XSS绕过方法对于网站安全至关重要,开发者应当定期更新和强化过滤规则,同时进行安全审计,确保网站对XSS攻击有足够的防护能力。
14.xssalert绕过&cookie绕过
HWHXY的博客
12-25 4628
前言 该篇记录为记录实际的src过程第14篇小文章,内容为某网站的xssbypass。 XSS 特征 拦截了常见的alert和prompt,大小写无法绕过,eval无法绕过alert.call无法绕过 xss绕过 alert用top[‘ale’+‘rt’]绕过 alert()用top[‘ale’+‘rt’].call绕过 cookie用document[变量]绕过 最终payload <img src=\"x\" onerror=\"c='coo'+'kie';top['ale'+'rt'].c
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 5347
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
【网络安全】XSS绕过HttpOnly实现帐户接管
最新发布
等风来
05-29 839
fetch 方法是JavaScript中用于发起网络请求的现代 API,实现从网络中获取资源(如文本、JSON、Blob 等)。url 是要发送请求的 URL,而 options 则是一个包含各种配置选项的对象,例如请求方法、请求头、身份验证信息等。fetch 方法返回一个 Promise,该 Promise 在收到响应后会解析为 Response 对象。通过对 Response 对象执行方法和访问属性,可以获取响应的状态、头信息和内容。
3-10xss绕过思路讲解和案例演示
山兔的博客
04-28 610
XSS绕过-过滤-转换 因为在我们的实际测试过程中,有很多安全系统或多或少,会去做一些安全措施,但是,这些措施,有可能会因为程序员逻辑不够严谨,或者他使用的方法是错的,保证了他的措施起到了一部分作用,但是还是可以被绕过的 0,前端限制绕过,直接抓包重放,或者修改html前端代码 我们的安全措施不要在前端去做,比如输入字符长度限制,这样也引申出一个思想,我们所有的安全措施,永远不要放在前端去做,前端会通过js,会通过属性,起到安全的辅助措施,但是本质上是没有作用的 1.大小写,比如:<SCRIPT&g
XSS 常用标签及绕过姿势总结
hackzkaq的博客
08-17 5621
A位置可填充 /,/123/,%09,%0A,%0C,%0D,%20 B位置可填充 %09,%0A,%0C,%0D,%20 C位置可填充 %0B,/**/,如果加了双引号,则可以填充 %09,%0A,%0C,%0D,%20 D位置可填充 %09,%0A,%0C,%0D,%20,//,>例如 javascript:alert(1) ,进行 Unicode 编码时,只能对 alert 和 “1” 进行编码,框号编码后会被当成文本字符,不能执行。...
XSS漏洞-03】XSS漏洞语句构造和绕过方法实例
m0_64378913的博客
05-14 4176
目录1 XSS语句构造方式1.1 第一种:利用[<>]构造HTML/JS语句1.2 第二种:利用javascript:伪协议1.3 第三种:事件驱动1.4 第四种:利用CSS(层叠样式脚本)1.5 其他标签及手法2 XSS语句变形及绕过2.1 第一种:大小写混编2.2 第二种:**双写绕过**。2.3 第三种:**引号的使用**2.4 第四种:使用 [/] 代替空格2.5 第五种:在一些关键字内插入回车符与Tab符2.6 第六种:编码绕过2.7 第七种:拆分跨站2.8
第04篇:XSS三重URL编码绕过实例1
08-03
本文主要探讨了一个XSS三重URL编码绕过的实例,揭示了在某些情况下,简单的防御措施可能不足以阻止攻击。 首先,我们要理解XSS的基本概念。XSS攻击通常发生在Web应用程序未能正确过滤或转义用户输入的情况下。当...
第十二节 利用IE特性绕过XSS过滤-01
09-15
XSS 攻击和 IE 特性绕过 XSS 过滤 XSS(Cross-Site Scripting),即跨站脚本攻击,是一种常见的 Web 应用安全漏洞。攻击者可以通过在目标网站中Inject恶意脚本,劫持用户会话,盗取敏感信息,甚至控制用户的浏览器...
第十三节 利用CSS特性绕过XSS过滤-01
09-15
利用CSS特性绕过XSS过滤是一种复杂的攻击方式,攻击者需要具备深入的CSS和JavaScript知识,同时也需要具备XSS漏洞发现和利用的经验。因此,在Web安全领域中,我们需要时刻警惕XSS攻击,并且采取相应的防御措施来保护...
XSS篇——XSS过滤绕过技巧
weixin_50464560的博客
05-07 3509
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
Web的基本漏洞--XSS漏洞
尽欢的博客
05-31 3349
XSS漏洞介绍、XSS漏洞的攻击方式--注入脚本代码
2023年网络安全面试题(渗透测试):详细答案解析与最佳实践分享
weixin_43263566的博客
07-18 1万+
命令执行漏洞指攻击者可以随意执行系统命令的漏洞。当攻击成功后,攻击者可以继承Web服务程序的权限,执行任意代码、读写文件,甚至控制整个网站或服务器,甚至进一步进行内网渗透。内网攻击莫忽视:在流量分析过程中,不要忽视内网的攻击行为。内网攻击可能是来自恶意软件、僵尸网络或内部威胁等,及时发现和响应内网攻击至关重要。企图告警需排查:当发出告警信号时,需要仔细排查可能的企图行为。不仅要关注被攻击的目标,还要查看攻击者的来源、攻击方法和可能的目的,以便更好地理解攻击行为。
Web安全-命令执行漏洞
道阻且长,行则将至。
02-03 4460
概述 命令执行漏洞概念:当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。 漏洞成因:脚本语言优点是简洁,方便,但也伴随着一些问题,如速度慢,无法解除系统底层,如果我们开发的应用需要一些除去web的特殊功能时,就需要调用一...
XSS注入绕过防护
LJH1999ZN的博客
02-17 1303
一、输入与输出的防护机制 字符实体化 关键字变形 关键字去除 尖括号去除 二、xss防护规则的绕过 1.大小写,双写绕过 为了避免XSS漏洞的存在,通常应用会对用户输入进行一定的安全处理后再输出的HTML中, 防护的方法有: 过滤:发现关键字返回错误 编码:对关键字进行编码 插入:插入改变关键字的符号 删除:删除关键字 绕过防护的思路: 判断关键字 判断防护规则 尝试不同的payload 大小写,双写 关键的符号有:' " ()<>{}=&--; 关键..
快速云:WEB安全之XSS攻击方式与防御方式
zyp18065271351的博客
06-14 386
分享IDC知识
45. XSS篇——XSS过滤绕过技巧
热门推荐
Fly_鹏程万里
03-20 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
一段有趣的Javascript代码及分析
iteye_1858的博客
03-08 313
在2011年的BlackHat DC 2011大会上Ryan Barnett给出了一段关于XSS的示例javascript代码: [code="javascript"] ($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__[_+~$]+$_[_]+$$](_/_) [/cod...
xss绕过技术 it168文库
07-29
为了绕过网站的安全措施,攻击者会利用一些特殊的技术和手段,以下是一些常见的XSS绕过技术: 1. 字符编码绕过:攻击者使用特殊的字符编码方式,如URL编码、HTML实体编码等,来绕过网站的过滤机制,使恶意脚本不被...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值