xss的更多学习

最新推荐文章于 2024-07-25 22:24:14 发布
最新推荐文章于 2024-07-25 22:24:14 发布
阅读量157 收藏
点赞数
分类专栏: csa 文章标签: xss 学习 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62706061/article/details/128026280
版权

练习网站:xss.haozi.me
学习博客:xss.haozi.me 练习
               ~~~~~~~~~~~~~~               xss.haozi.me

总结几点吧:
emm首先明确 xss绕过有html环境和js环境
1.模板字符串的引入:
具体参见官方文档
简单来讲:
用alert`1`来绕过() 相当于alert(1)
2.html entity实体编码的认识
XSS编码问题以及绕过

HTML解析(只要是DOM节点里属性的值,都可以被HTML编码和解析)
JS解析器,只有进入JS解析环境,才会进行JS编码解析,并且位于JS解析环境的,不会进行实体编码解析

3.其他的一些

<!-- --!>
换行绕过正则
被过滤替换后 接着构造
利用url 的@特性去跳转到写了alert的js页面
html对大小写不敏感,js敏感 用html实体编码在html环境绕过

4.令人感到意外地
在这里插入图片描述
对于这里使用html的注释符也能闭合js单行注释,查了一下,发现说对于那些不支持JavaScript的浏览器会把脚本作为页面的内容来显示;为了防止这种情况发生,我们可以使用这样的HTML注释标签
<!–
document.write(“Hello World!”);
//–>

可以看到这里就是使用了html标签闭合的js,对于 都可以在html的script标签里单独使用进行单行注释,这里<被过滤了,所以使用–>

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
正则很重要,合适的正则更重要!!!
5.谷歌搜索“inurl:‘Product.asp?BigClassName’”
10个有9个都是xss
在这里插入图片描述
在这里插入图片描述

蓝色的@猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞学习笔记
qi_SJQ_的博客
12-31 2584
xss学习笔记
第八节 Javascript伪协议的XSS-01
09-15
在 Web安全 训练营课程中,我们可以学习多关于XSS漏洞的知识,包括javascript伪协议、XSS漏洞发现、a链接标签属性href介绍、Payload触发XSS漏洞等内容。同时,我们也可以学习多关于Web安全的知识,包括SQL...
html实体编码_深入研究浏览器解析和XSS有效负载编码
weixin_39620943的博客
11-28 265
  翻译文章, 原文:Deep dive into browser parsing and XSS payload encoding[1]这篇博客文章将深入探讨HTML,URL和JavaScript的规范和解析器,以及它们之间的交互如何在跨站点脚本转义中有所作为。对于您而言,这可能很难或容易地完成,具体取决于您对HTML规范和浏览器解析器的了解程度。而且,我保证您这是一篇很长的文章,所以准备花一两...
html 转义 xss,HTML-Entity转义防止XSS
weixin_42245942的博客
06-18 559
我使用OWASP(ESAPI)库,以及,为了躲避针对不同类型的显示器,使用字符串:String html = ESAPI.encoder().encodeForHTML("hello are 'you'");String html_attr = ESAPI.encoder().encodeForHTMLAttribute("hello are 'you'");String js = ESAPI...
XSS漏洞学习
m0_63017297的博客
06-17 1206
定义:XSS(Cross Site Scripting)攻击全称跨站脚本攻击,是为不和层叠样式表 (Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。成因:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植 入到提供给其它用户使用的页面中,而程序对输入和输出的控制不够严格,导致“精心构造” 的脚本输入后,再输到前端时被浏览器当作有效代码解析执行从而产生危害。当受害者访问 这些页面时,浏览器会解析并执行这些恶意代码。
xss学习
weixin_63231007的博客
04-29 2300
反射性xss 传入<script>alert("xss")</script>,会弹出一个xss弹框。 这个弹框是无害的,但如果做的是别的事情,就有害了。 存储型xss 输入留言name:1111 Message : <script>alert("xss")</script> 之后这个网站就被挂了一个非常简单的🐎,之后任何人访问这个网站,都会执行这个xss脚本 这个链接被发送给其他人之后,他们一点击,就会执行这个脚本。被人引诱点击之后就..
XSS学习
一个普普通通的博客
04-18 1153
XSS
【胎教级XSS学习笔记】
az748569的博客
03-10 695
XSS漏洞大家都不陌生,作为最常见的网络安全漏洞之一,随便打开一个搜索网站,都可以找到非常多关于XSS的定义以及讲解,但是对于刚开始学习的网络安全小白比如说我来说,总是看了很多但是还一知半解,所以写这篇文章的目的是希望可以用易于理解的方式来帮助大家理解到底什么是XSSXSS(跨站脚本攻击),那么什么是跨站脚本呢?我理解的跨站就是浏览器运行不是本网页的内容,脚本就是JS代码,所以就是网站被注入恶意的脚本了,但是浏览器还傻傻的执行了,就构成了跨站脚本攻击。
XSS漏洞初步学习、深度利用
m0_55313512的博客
03-03 2339
XSS漏洞
网安学习Day17-初始XSS
weixin_44770698的博客
05-12 559
XSS攻击 xss攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 xss属于客户端攻击。JavaScript可以用来获取用户的Cookie、改变网页内容、URL调转,那么存在XSS
xss-lab全通关教程
05-07
XSS(Cross-Site Scripting)实验室全通关教程是一份深度学习和实践XSS漏洞攻防的宝贵资源。XSS是一种常见的网络安全问题,它允许攻击者在用户浏览器中注入恶意脚本,从而窃取敏感信息、操纵用户行为或进行其他危害...
xss游戏平台源码
12-12
通过阅读“说明.txt”,我们可以获取多关于源码结构和使用方法的信息,进一步加深理解。而“xss”文件可能是源代码的主入口点,或者是相关配置文件,需要结合实际内容来解读。总之,深入研究这个源码项目,不仅...
XSSBypass:XSS绕过技术
05-17
**XSS(跨站脚本攻击)Bypass:探索XSS绕过技术** XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它...通过深入研究XSSBypass-master这样的资料,我们可以好地理解和应对XSS挑战,提高网络环境的安全性。
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 595
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
AvaloniaUI的学习
最新发布
lishuangquan1987的博客
07-25 891
官方中文文档:https://docs.avaloniaui.net/zh-Hans/docs/welcome。
Python编程学习第一篇——Python零基础快速入门(六)(4)异常处理
urhero的专栏
07-25 343
我们已经了解了Python的基本数据类型、变量和基本的逻辑控制语句,基于这些基础知识可以编写一些小程序了,但是在写程序的时候我们会发现,有时候程序并不是按我们预期的方向执行,有的直接报错,有的没有报错,却并未得到我们预期的结果。在这个例子中,除数为0会引发ZeroDivisionError异常,我们将异常信息赋值给变量e,并输出"除数不能为0"和异常信息。在这个例子中,由于除数不为0,所以没有发生ZeroDivisionError异常,代码会执行else语句块,并输出结果2.0。
学习日志:JVM垃圾回收
weixin_46117680的博客
07-23 1004
当需要排查各种内存溢出问题、当垃圾收集成为系统达到高并发的瓶颈时,我们就需要对这些“自动化”的技术实施必要的监控和调节。可达性算法中描述的对象引用,一般指的是强引用,即是GCRoot对象对普通对象有引用关系,只要这层关系存在普通对象就不会被回收。
XSS攻击详解:成因、挖掘与防护
然而,很多开发者可能会忽略对DOM(文档对象模型)中的动态内容进行二次过滤,导致DOM-Based XSS的出现。此外,非HTML文件(如Flash)也可能成为XSS攻击的载体,因此,全面的安全策略应覆盖所有可能的数据输入和输出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值