实验30:xss绕过思路讲解和案例演示

最新推荐文章于 2024-01-03 22:47:32 发布
最新推荐文章于 2024-01-03 22:47:32 发布
阅读量439 收藏 3
点赞数 1
分类专栏: 作业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44720671/article/details/89666606
版权

xss绕过思路

xss的常见绕过方法:

一、前端限制绕过(如字符长度限制),直接抓包重放,或修改html前端代码
二、大小写。比如:< scRIPT>aleRT(111)</ scrIPT>(可绕过大写过滤或者小写过滤)
三、拼凑:<scri< script>pt>alert(111)</scri</ script>pt>(防止后台将“script”给删去,通常只会删一次)
四、使用注释进行干扰:< sri< !–test–>pt>alert(111)< /scri< !–test–>pt>(利用注释符号进行过滤)

编码

核心思路:后台过滤了特殊字符,比如< script>标签,但其可被各种编码,后台不一定会过滤,当浏览器对编码识别时,会自动翻译成正常标签执行
(注:在使用编码时,要注意编码在输出点是否会被正常识别和翻译!)
例1:< img src=x onrror =“aert(‘xss’)”>(将alert(‘xss’)进行URL编码)
编码后:在这里插入图片描述
答案:不能。因为img onerror等属性标签不会正常解析这些编码。
例2:

最低0.47元/天 解锁文章
以菜之名
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS攻击绕过过滤方法大全(转)
mingyqf的博客
04-20 2万+
XSS攻击绕过过滤方法大全(约100种) 虽然说很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS注入。 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录,现在此XSS备忘录将由OWASP维护和完善它。 OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Cheat She
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 4315
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
XSS绕过技巧
weixin_52501704的博客
02-10 2970
XSS绕过技巧
[ 常见漏洞篇 ]常见web漏洞总结------XSS绕过方式
qq_51577576的博客
12-06 3483
本文具体写到了常见的XSS绕过方式,间的的介绍了一下修复方式 写的比较细,比较深,需要一定的基础才能看懂,仔细读完 不懂的可以百度查一查或者私信我,相信会有很大收获 目录 一、Xss绕过方式: 1. 前端过滤 2.双写绕过 3. 事件绕过 4. 大小写绕过 5. 注释干扰绕过 6.伪协议绕过 7.空格回车Tab绕过 8. 编码绕过 1. base64编码: 2. JS编码: 3. 十六进制: 4. unicode: 5. HTML实体编码: 6. URL...
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
白帽子佳奇的博客
12-12 3787
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
XSSBypass:XSS绕过技术
05-17
XSS绕过 XSS绕过技术,带来乐趣和收益。 尝试使用XSS漏洞逐行绕过Web应用程序安全性XSS过滤器。
第04篇:XSS三重URL编码绕过实例1
08-03
0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:如图,可以看到,双引号被转义了,这时候是不是有种想放弃的想法,抱着尝试的状
XSS绕过技术
10-11
Cross-Site Scripting(XSS绕过技术,来自论坛:法克论坛,作者:bystand
记录几种XSS绕过方式1
08-03
XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者...了解并防御这些XSS绕过方法对于网站安全至关重要,开发者应当定期更新和强化过滤规则,同时进行安全审计,确保网站对XSS攻击有足够的防护能力。
Web应用安全:XSS篡改页面(实验).docx
06-19
"Web应用安全:XSS篡改页面(实验)" 本节课将介绍Web应用安全中的一种常见攻击手法:跨站脚本攻击(Cross-Site Scripting,XSS)。XSS攻击是指攻击者在Web应用程序中注入恶意脚本,然后当用户访问该Web应用程序时...
xss绕过
weixin_51692662的博客
08-19 2567
xss绕过
跨站脚本攻击漏洞XSS绕过22种方式总结
最新发布
黄乔国PHP
01-03 2149
跨站脚本攻击在目前这个时间节点还是属于一个排位比较高的漏洞,在OWASP TOP10 2021中隶属于注入型漏洞,高居TOP3的排位,可见这个漏洞的普遍性。跨站脚本攻击的学习中我们主要需要明白的是跨站的含义,以及XSS的核心。XSS主流分类分为:反射型,存储型,DOM型三类,比较重要的是存储型。
XSS常见的绕过手法
热门推荐
Redredredfish的博客
12-07 1万+
XSS常见的绕过手法 大小写绕过 HTML对标签大小写不敏感,可以利用大小写混用绕过 例如:<script>改为<ScRiPt> 双写绕过 有些情况的规则会将黑名单标签替换为空,可以利用这一点构造标签 例如:<script>改为<scr<script>ipt> 同理某些注释符在规则中也会替换为空,这时候可以利用它构造payload 例如:<script>改为<scr<!---test--->ipt> 开口标签 在
xss绕过思路
W小哥
04-13 2251
1、前端限制绕过(比如:JS),直接抓包改包重放,或者修改html前端代码 2、大小写绕过,比如:pt> 4、使用注释进行干扰:<script>alert(/xss/)</script> 后台过滤了特殊字符,比如 ...
xss绕过方法(前端绕过,拼凑绕过,注释干扰绕过,编码绕过
qq_43814486的博客
05-05 8064
绕过思路 前端绕过:前端有很多种方法绕过,比如抓包重放或者修改前端代码。 大小写绕过:一般后台对输入写进行过滤使用两种方法:1,使用正则匹配,2,用查找的函数查找。这两种方法可以用大小写混合的方式进行绕过,而后端是不管大小写的,可以正常执行我们的语句。 拼凑:后端会对我们输入的标签进行替换,但只替换一次,所以可以这样: <scri<script>pt>alert("hell...
XSS 常用标签及绕过姿势总结
hackzkaq的博客
08-17 5355
A位置可填充 /,/123/,%09,%0A,%0C,%0D,%20 B位置可填充 %09,%0A,%0C,%0D,%20 C位置可填充 %0B,/**/,如果加了双引号,则可以填充 %09,%0A,%0C,%0D,%20 D位置可填充 %09,%0A,%0C,%0D,%20,//,>例如 javascript:alert(1) ,进行 Unicode 编码时,只能对 alert 和 “1” 进行编码,框号编码后会被当成文本字符,不能执行。...
top10之XSS(详尽版)~原理、类型、绕过方法
m0_59856804的博客
12-12 784
XSS定义、原理、类型、应用、绕过方法
XSS进阶之CSP绕过
ChuMeng1999的博客
11-15 651
script-src”限制外部脚本的加载,strict-dynamic特性允许将信任关系传递给由受信任的script动态生成的脚本,忽略了script-src的白名单,使得之后生成的脚本可以执行。CSP中的strict-dynamic特性允许将信任关系传递给动态生成的脚本,可以绕过script-src白名单限制,使得当从客户端插入JS时可以被解释执行。上述POC的作用是使我们注入的代码成为受信任的js脚本,从而绕过CSP的白名单的限制。尝试构造语句使浏览器执行弹出对话框的脚本。3.了解CSP的一些特性。
XSS总结(含绕过)
weixin_50464560的博客
07-28 923
XSS总结 By七友 / 2019-02-16 09:42:00 / 浏览数 35528 <span class="content-...
XSS绕过方式有哪些
10-27
XSS(跨站脚本攻击)是一种常见的Web攻击方式,攻击者通过注入恶意脚本来窃取用户信息或者执行其他恶意操作。以下是一些XSS绕过方式: 1. HTML编码绕过:攻击者可以使用HTML编码来绕过过滤器,例如使用<代替<,使用>代替>等。 2. JavaScript编码绕过:攻击者可以使用JavaScript编码来绕过过滤器,例如使用%3C代替<,使用%3E代替>等。 3. 事件属性绕过:攻击者可以使用事件属性来绕过过滤器,例如使用onload、onerror等事件属性来执行恶意脚本。 4. 标签闭合绕过:攻击者可以使用标签闭合来绕过过滤器,例如使用<img src="x" onerror="alert('xss')" />来执行恶意脚本。 5. DOM操作绕过:攻击者可以使用DOM操作来绕过过滤器,例如使用document.write()来插入恶意脚本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值