XSS的关键之列表

最新推荐文章于 2023-11-10 17:56:20 发布
最新推荐文章于 2023-11-10 17:56:20 发布
阅读量198 收藏
点赞数
分类专栏: 技术天地 文章标签: ASP VB HTML5 VBScript IE
[code]
//this field are used tp escape XSS script attach
//get all the html 4 event from http://www.w3schools.com/Html/html_eventattributes.asp
private static final String[][] XSS_CHARS_ESCAPE = {
//Window Events
{"onload", "on_load"},
{"onunload", "on_unload"},
//Form Element Events
{"onchange", "on_change"},
{"onsubmit", "on_submit"},
{"onreset", "on_reset"},
{"onselect", "on_select"},
{"onblur", "on_blur"},
{"onfocus", "on_focus"},
//Keyboard Events
{"onkeydown", "on_keydown"},
{"onkeypress", "on_keypress"},
{"onkeyup", "on_keyup"},
//Mouse Events
{"onclick", "on_click"},
{"ondblclick", "on_dblclick"},
{"onmousedown", "on_mousedown"},
{"onmousemove", "on_mousemove"},
{"onmouseout", "on_mouseout"},
{"onmouseover", "on_mouseover"},
{"onmouseup", "on_mouseup"},
//html 5 event attribute
//from http://www.w3schools.com/tags/html5_ref_eventattributes.asp
{"onabort", "on_abort"},
{"onbeforeunload", "on_beforeunload"},
{"oncontextmenu", "on_contextmenu"},
{"ondrag", "on_drag"},
{"ondragend", "on_dragend"},
{"ondragenter", "on_dragenter"},
{"ondragleave", "on_dragleave"},
{"ondragover", "on_dragover"},
{"ondragstart", "on_dragstart"},
{"ondrop", "on_drop"},
{"onerror", "on_error"},
{"onmessage", "on_message"},
{"onmousewheel", "on_mousewheel"},
{"onresize", "on_resize"},
{"onscroll", "on_scroll"},
{"onunload", "on_unload"},

//JS header
{"javascript:", "java_script:"},
{"jscript:", "j_script:"},
{"vbscript:", "vb_script:"},
{"<script>", "<script>"},
{"</script>", "</script>"},

//IE only event
{"onactivate","onactivate"},
{"onafterprint","onafterprint"},
{"onafterupdate","onafterupdate"},
{"onbeforeactivate","onbeforeactivate"},
{"onbeforecopy","onbeforecopy"},
{"onbeforecut","onbeforecut"},
{"onbeforedeactivate","onbeforedeactivate"},
{"onbeforeeditfocus","onbeforeeditfocus"},
{"onbeforepaste","onbeforepaste"},
{"onbeforeprint","onbeforeprint"},
{"onbeforeupdate","onbeforeupdate"},
{"onbounce","onbounce"},
{"oncontrolselect","oncontrolselect"},
{"oncopy","oncopy"},
{"oncut","oncut"},
{"ondataavailable","ondataavailable"},
{"ondatasetchanged","ondatasetchanged"},
{"ondeactivate","ondeactivate"},
{"onerrorupdate","onerrorupdate"},
{"onfilterchange","onfilterchange"},
{"onfinish","onfinish"},
{"onhelp","onhelp"},
{"onlayoutcomplete","onlayoutcomplete"},
{"onlosecapture","onlosecapture"},
{"onmouseenter","onmouseenter"},
{"onmouseleave","onmouseleave"},
{"onmove","onmove"},
{"onmoveend","onmoveend"},
{"onmovestart","onmovestart"},
{"onpaste","onpaste"},
{"onpropertychange","onpropertychange"},
{"onreadystatechanged","onreadystatechanged"},
{"onresizeend","onresizeend"},
{"onresizestart","onresizestart"},
{"onrowenter","onrowenter"},
{"onrowexit","onrowexit"},
{"onrowsdelete","onrowsdelete"},
{"onrowsinserted","onrowsinserted"},
{"onstart","onstart"},
{"onstop","onstop"},
{"ontimeerror","ontimeerror"}

};
[/code]

[code]
private static String replaceIgnoreSearchCase(String text, String searchString, String replacement) {
if (StringUtils.isEmpty(text) || StringUtils.isEmpty(searchString) || replacement == null) {
return text;
}
searchString = searchString.toUpperCase();
final String textUperCase = text.toUpperCase();
int start = 0;
int end = textUperCase.indexOf(searchString, start);
if (end == -1) {
return text;
}
int replLength = searchString.length();
int increase = replacement.length() - replLength;
increase = (increase < 0 ? 0 : increase);
increase *= 16;
StringBuffer buf = new StringBuffer(text.length() + increase);
while (end != -1) {
buf.append(text.substring(start, end)).append(replacement);
start = end + replLength;
end = textUperCase.indexOf(searchString, start);
}
buf.append(text.substring(start));
return buf.toString();
}
[/code]
iteye_1989
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS List
weixin_30296405的博客
02-27 1103
目录 JavaScript Inject Code HTML Inject Code CSS Inject Code DOM XSS iframe标签 网上收集的 个人平时收集的一些XSS清单(大部分来自网络),不定期更新,喜欢的可以点关注:) ...
选择列表中的XSS
qq_43776408的博客
07-28 487
HTML select标签介绍 比如你选什么水果 下拉选项:西瓜,苹果等等 你会看到value的值和后面的有点像 value的值是通过表单form进行提交到服务器 value后的值是展示给你的看的选项,不提交给服务器 表单介绍 登录就是通过表单form实现的 下面是之前xss的代码 Burp测试XSS 以第三关为例 直接通过F12看到了提交的参数值是什么 使用Burp截取 你可以修改前面的,后面的国家最好不要修改 修改完之后点击forward,你会看到原页面的111变为11111111 触发XSS
DVWA------XSS(全)
m0_65712192的博客
12-13 5217
DVWA-----XSS(全)
XSS(跨站脚本攻击)小结(转)
mingyqf的博客
04-04 490
靶机地址:https://xss-quiz.int21h.jp/ XSS漏洞发现: 设置独一无二字符串提交,在响应中查找。 定义和用法 onmouseover 属性在鼠标指针移动到元素上时触发。 注释:onmouseover 属性不适用以下元素: <base>、<bdo>、<br>、<head>、<html>、<iframe>、<meta>、<param>、<script>、<style&g
【安全】P 4-7 选择列表中的XSS
Z_David_Z的博客
02-17 116
0X01 HTML select标签介绍 select 元素可创建单选或多选菜单。 元素中的 标签用于定义列表中的可用选项。 0X02 表单介绍 HTML 表单用于搜集不同类型的用户输入 0X03 Burpsuite 测试XSS 使用Burpsuite截取HTTP请求,修改提交参数 0X04 闭合触发XSS Japan</option><script>alert(document.domain)</script> ----E-----N-----D----
HTML实体编码:XSS防御的关键策略
08-18
HTML实体编码是防御XSS攻击的关键策略之一。通过将特殊字符转换为它们的HTML实体形式,可以有效地防止恶意脚本的注入和执行。然而,为了全面防御XSS攻击,开发者还需要采取多种措施,包括使用CSP、进行输入验证和...
textContent属性:构建XSS防护网的关键
最新发布
08-18
在Web开发中,正确处理用户输入是防止XSS关键。textContent属性是JavaScript DOM API的一个特性,它可以用来设置或获取元素的文本内容,同时自动对特殊字符进行转义,从而帮助防止XSS攻击。本文将详细探讨如何使用...
web安全之XSS攻击demo
04-18
防范XSS攻击的关键在于正确地处理和验证用户输入,包括: - 对用户提交的数据进行转义或过滤,确保不会插入可执行的脚本。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制浏览器只执行指定来源的脚本。 - ...
xss漏洞之进制转换
02-27
XSS(Cross-site scripting)漏洞是现代Web应用中常见的安全问题,主要表现为攻击者通过注入恶意脚本到网页中,...总之,理解和预防XSS漏洞是Web开发中的关键环节,需要持续关注最新的攻击手段,并采取有效的防护措施。
xss_javaxss_XSS_
10-04
在Java中,处理XSS攻击通常涉及以下几个关键步骤和策略: 1. 输入验证:首先,对所有用户输入进行严格的验证,确保其符合预期的格式。例如,如果一个字段只应接受数字,那么就应当拒绝任何包含非数字字符的输入。...
漏洞挖掘时SQL注入漏洞和XSS漏洞需注意的关键
Ciyaso的博客
02-07 561
SQL注入漏洞 出现位置 登录界面、获取HTTP开头(user-agent/client-ip)、订单处理等 普通注入 关键字 select from mysql_connect mysql_query mysql_fetch_row update insert delete 宽字节注入 出现位置 文章发表、评论回复、留言、资料设置等 关键字 SET NAMES character_set_client=gbk mysql_set_charset('gbk') 二次urldecode注入 关键字 ur
XSS详解(译)
yifeng_peng的博客
01-10 5592
一、XSS 概述 什么是XSS? Cross-site scripting(XSS)是一种能够在他人浏览器中执行恶意 JavaScript代码的代码注入攻击。 攻击者不需要直接接触受害者。他可以直接利用受害者访问的网站的漏洞来让恶意代码在其浏览器中执行。对于受害者的浏览器来说,恶意的 JavaScript 代码表现的就像是网站合法的一部分,而网站的行为也完全不像是攻击者的帮凶。 恶意的 JavaS...
XSS总结
YangLanLing的博客
07-20 67
HTML基本语法 HTML 标签是由尖括号包围的关键词,比如 <html> HTML 标签通常是成对出现的,比如 <b> 和 </b> 标签对中的第一个标签是开始标签,第二个标签是结束标签 开始和结束标签也被称为开放标签和闭合标签 <!DOCTYPE html> <!-- 声明这是HTML5文档 --> <html&g...
xss总结
nigo134的博客
07-16 438
1.通过拼接html标签绕过htmlspecialchars() ini_set("display_errors", 0); $str = $_GET["keyword"]; echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center> <form action=level2.php method=GET> <input name=keyword val.
XSS的知识梳理
m0_62129839的博客
11-04 197
xss入门级总结,讲讲xss漏洞为什么存在
java入门, private static final
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
11-10 509
在定义一个变量是使用private static final 修饰,我们知道,内容就可更改了。这种场景用的最多的是在一些工具类中,对一些参数的设定。
网站渗透测试-XSS
weixin_43411799的博客
09-08 697
文章目录XSS产生原理XSS分类XSS测试判断XSS绕过 XSS产生原理 XSS本质:系统将用户输入的脚本代码(JS, Flash script)执行了,违背了原本接收数据的本意。从而造成了一些违背系统愿意的后果 XSS根本原因;系统没有对用户输入数据进行编码,转义,过滤限制等处理 XSS分类 1 、反射型:非持久型,在上面的架构中,用户使用浏览器,然后浏览器发送请求到服务器后台的Java或者PHP,或者Python,然后服务器逻辑程序返回响应结果,传送到客户端浏览器显示。 2、存储型:持久型,在上面架.
java反射获取private static final String成员变量_单元测试
Mary~fighting的博客
12-09 2596
今天一不小心写了个以“private static final String filePath=“XXX””为成员变量的util类,所以代码都写完了,就差个UT,实在不愿意重写,然后就开始摸鱼解决这个傻X代码的一天~~~ 1、 仿写工具类:Constants public class Constants { private static final String param2 = new String("参数2"); public static String get() {
xss跨站脚本***大全
weixin_34331102的博客
03-20 460
(1)普通的XSS JavaScript注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (3)IMG标签无分号无...
xss之中input的PAYLADE
07-24
XSS (Cross-Site Scripting) 攻击是一种常见的网络安全漏洞,它允许攻击者通过将恶意脚本注入到网页浏览器中来控制用户的计算机并获取敏感信息。这种恶意脚本通常包含在网页上显示的内容中,并在用户访问该网页时被执行。 在 XSS 攻击中,`payload` 指的是攻击者精心设计的、用于触发特定行为或泄露敏感信息的恶意数据串。这个数据串通常被编码或变形以避免被网站的安全机制拦截,然后作为输入插入到网页中。 例如,在基于表单的数据提交场景中,`<script>alert('我是恶意代码');</script>` 可能会被当作正常的 HTML 或 JavaScript 字符串传递给服务器端。由于前端输入处理不足,这类字符串会原封不动地显示在页面上,当用户访问包含该 `payload` 的页面时,恶意脚本就会执行,导致如弹窗警告、数据泄漏等不良后果。 防止 XSS 攻击的关键在于对所有用户提交的数据进行严格的验证和清理。这包括但不限于: 1. **内容过滤**:使用白名单技术只接受预定义的安全字符集内的字符。 2. **转义特殊字符**:对于用户输入的所有文本内容,都应使用适当的转义序列(如 `<` 转换为 `<`),以防止它们作为 HTML 标签或脚本执行。 3. **输入验证**:确保输入的数据格式满足预期用途的要求,比如检查电子邮件地址是否有效,URL 是否指向可信域名等。 4. **使用安全库函数**:利用编程语言提供的安全处理函数帮助自动过滤和转义数据。 5. **避免信任所有的用户输入**:永远不要假设用户输入总是安全的,即使来自注册用户或有权限的内部人员也是如此。 通过实施这些策略,可以显著降低网站遭受 XSS 攻击的风险,保护用户数据的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值