XSS漏洞的与标签的那些个事~

最新推荐文章于 2024-06-17 16:02:48 发布
最新推荐文章于 2024-06-17 16:02:48 发布
阅读量3.2k 收藏 2
点赞数 2
分类专栏: CTF 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kangzinian/article/details/121602555
版权

XSS漏洞的与标签的那些个事~

0x00(div)

div标签里面插入script即可
在这里插入图片描述

0x01(textarea)

textarea内嵌js脚本,不会被执行。这个时候,我们闭合textarea标签即可
在这里插入图片描述

0x02(input)

借助sql注入的方法,把input标签闭合。我设计了一个点击事件,点击弹出
在这里插入图片描述

0x03

html可以正常显示标签,但是有括号就给过滤了。可以使用``来代替括号

<script>alert`1`</script>

在这里插入图片描述

0x04

增加了过滤,把``也过滤掉了。那么考虑使用编码绕过。
(的编码是40,16进制是28
)的编码是41,16进制是29
因为使用编码,所以不能使用script标签了,这里考虑用img标签

<img src
最低0.47元/天 解锁文章
圣默
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
让两个Div并排显示的多种方法
12-11
让两个Div并排显示 一、使用display的inline属性 复制代码代码如下: <div xss=removed>AAAA</div> <div xss=removed>BBBB</div> 二、通过设置float来让Div并排显示 复制代码代码如下: <style> #left,#right {float:left;border:1px solid red; padding:10px;}
常见漏洞xss
m0_52923241的博客
03-13 1080
简介 攻击者把恶意的脚本代码注入到网页中,等待其他用户浏览这些网页,从而触发恶意执行代码 危害 1.网络钓鱼,盗取各类用户的账号,如机器登录帐号、用户网银帐号、各类管理员帐号; 2.窃取用户Cookie,获取用户隐私,或者利用用户身份进一步执行操作 3.劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志等 4.强制弹出广告页面,刷流量等 5…进行恶意操作,例如任意篡改页面信息,删除文章等,传播跨站脚本蠕虫,网页挂马等 6.进行基于大量的客户端攻击,如DDOS攻击 7.结合其它漏洞
XSS漏洞学习
最新发布
m0_63017297的博客
06-17 1209
定义:XSS(Cross Site Scripting)攻击全称跨站脚本攻击,是为不和层叠样式表 (Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。成因:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植 入到提供给其它用户使用的页面中,而程序对输入和输出的控制不够严格,导致“精心构造” 的脚本输入后,再输到前端时被浏览器当作有效代码解析执行从而产生危害。当受害者访问 这些页面时,浏览器会解析并执行这些恶意代码。
XSS 常用标签及绕过姿势总结
hackzkaq的博客
08-17 5659
A位置可填充 /,/123/,%09,%0A,%0C,%0D,%20 B位置可填充 %09,%0A,%0C,%0D,%20 C位置可填充 %0B,/**/,如果加了双引号,则可以填充 %09,%0A,%0C,%0D,%20 D位置可填充 %09,%0A,%0C,%0D,%20,//,>例如 javascript:alert(1) ,进行 Unicode 编码时,只能对 alert 和 “1” 进行编码,框号编码后会被当成文本字符,不能执行。...
学习笔记-xss
weixin_44063924的博客
09-05 683
本文章仅作学习自用,若有不对欢迎批评斧正。 目录 一、XSS简介 二、XSS 跨站漏洞原理及分类 2.1原理 2.2分类 总结 一、XSS简介 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常
小白专用,XSS笔记
jhfjdf的博客
09-22 125
XSS漏洞攻击笔记XSS是什么XSS的分类XSS攻击的大体流程 XSS是什么 XSS又叫CSS,跨站脚本式攻击。指的是攻击者向web页面插入了恶意的HTML代码,当其他的用户在访问该web页面时,插入的HTML恶意代码将会被执行,从而达到获取用户信息,攻击用户的效果。XSS是针对用户层面的攻击。 XSS的分类 反射型XSS:用户访问已被插入恶意代码的链接,恶意代码被执行而产生的攻击 存储型XSS:攻击者将恶意代码插入到了web服务器中被存储起来,用户在进入某一页面时,恶意代码会随着网页的打开或者某些操作而
xss闭合标签用法
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-05 467
div1
JSP安全开发之XSS漏洞详解
10-21
7. **代码审查**:定期进行代码审查,检查可能的XSS漏洞,并确保所有用户输入都经过了适当的安全处理。 8. **安全编码最佳实践**:遵循安全编码原则,例如,避免在HTML中动态生成JavaScript,而是将其放在外部文件...
SQL+XSS漏洞修复方案
04-13
总之,SQL注入和XSS漏洞的修复需要开发者具备良好的安全意识,并在编程时遵循最佳实践。通过使用预编译语句、输入验证和内容转义,我们可以大大降低这些风险,保护用户的个人信息和系统的完整性。在实际项目中,定期...
XSS漏洞
04-05
标签中的“工具”可能指的是可以用来检测和防御XSS攻击的工具,如OWASP ZAP、Burp Suite等安全测试工具,它们可以帮助开发者识别潜在的XSS漏洞,并提供修复建议。 压缩包中的文件“PHP中SQL注入与跨站攻击的防范....
Flash XSS漏洞挖掘1
08-03
Flash应用程序基于ActionScript开发,与ECMAScript相似,因此开发者如果不谨慎处理输入和敏感函数,可能导致任意JavaScript代码执行,这类似于Web中的DOM XSS漏洞。而许多人可能首先联想到的是不安全的`getURL()`...
前端顽疾--XSS漏洞分析与解决.ppt
05-07
前端顽疾--XSS 漏洞分析与解决 一、前端顽疾--XSS 漏洞分析 XSS 漏洞是一种常见的前端安全问题,指的是攻击者在 Web 应用程序中注入恶意脚本,以欺骗用户或窃取用户信息。XSS 漏洞的危害非常高,黑客可以通过 XSS ...
彻底理解前端安全面试题(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
ZL_1618的博客
03-13 1904
xss 攻击的三种类型都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问题,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和中间人攻击的内容没有总结,持续更新中,欢迎关注。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
【转载】XSS靶机专项练习(总结)
xhc6666的博客
05-22 573
XSS靶机测试专项练习总结
跨站脚本攻击(XSS)详解
Karka_的博客
01-02 1224
XSS(Cross Site Script)攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。一开始,这种攻击的演示案例是跨域的,所以叫做"跨站脚本"。现在是否跨域已经不再重要,但是名字一直沿用下来。XSS长期以来被列为客户端Web安全中的头号大敌。因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。下面举个XSS的例子php?如果用户提交了一段HTML代码alert(/xss/)就会在页面中执行,弹出框显示/xss/。
XSS(跨站脚本攻击)详解
hello
07-02 3892
XSS简述-XSS类型-XSS常用标签
xss绕过
weixin_51692662的博客
08-19 2605
xss绕过
XSS测试之闭合的正确使用方式
u014171100的博客
12-16 5181
在测试XSS漏洞的时,不少同鞋会从大量Payload中随便挑选几个顺眼来尝试,没有弹窗就放弃了,这种方法并不是很科学,一些稍微隐秘点的XSS基本都能逃过这样的检查。下面我将从XSS的本质讲起,给各位分享一下我的XSS测试方法。 XSS属于注入类漏洞,其本质是:在前端代码中用户可以控制内容的地方(简称可控点),拼接上一段可被浏览器执行的新语句。这里可被浏览器执行是关键,不管你正在测试的点是否有漏洞,首先拼接上去的脚本同上下文看来,需要一定程度的符合前端代码的语法结构。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值