XSS练习---一次循环和两次循环问题

最新推荐文章于 2023-10-08 14:01:14 发布
VIP文章 最新推荐文章于 2023-10-08 14:01:14 发布
阅读量284 收藏
点赞数
分类专栏: 网安基础 文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52016943/article/details/126105120
版权

一次循环--demo6.html

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <form id=x>
        <input id=attributes>
        <input id=attributes>
    </form>
</body>
<script>
    console.info(x.attributes);
    const data = decodeURIComponent(location.hash.substr(1));
    const root = document.createElement('div');
    root.innerHTML = data;

    //这里模拟了XSS过滤的过程,方法是移除所有属性
    for (let el of root.querySelectorAll('*')) {
        for (let attr of el.attributes) {
            el.removeAttribute(attr.name);
        }
    }
    document.body.appendChild(root);
最低0.47元/天 解锁文章
抱小猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有关于xss漏洞攻击专项练习,一共有二十关,也是小白的看门砖吧!
xss漏洞-svg标签】详解svg标签+触发XSS
06-29 6447
【svg标签的触发与实战】
<svg>xss
'123'\x22
11-19 266
利用SVG进行XSS和XXE
weixin_50464560的博客
03-30 7406
最近我学习了一些新的xss技巧在这里享给大家! 0x01 JavaScript without parentheses using DOMMatrix 背景 以前我们有两个解决xss不带括号的方法但是都有缺陷: 我们可以使用location=name来加载外部的代码,但是Safari不支持,另外还可以用οnerrοr=alert;throw 1来实现xss,但是现在大多数的waf都会过滤throw 1,因此今天我们就来介绍以下第三种方法。 DOMMatrix 题目的伪代码: 根据上面的要求我们不能使用"’
SVG格式进行xss与xxe
yggcwhat
08-14 1271
SVG格式进行xss与xxe
WEB攻防-XSS跨站&HTML&SVG&PDF&Flash&MXSS&UXSS&配合上传&文件添加脚本
siu~
09-08 471
1、XSS跨站-MXSS&UXSS 2、XSS跨站-SVG制作&配合上传 3、XSS跨站-PDF制作&配合上传 4、XSS跨站-SWF制作&反编译&上传
xss-labs.zip
03-18
xss-labs是一个网站,其中包含了20个含有XSS漏洞的网页,用于学习XSS
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
Python-XanXSS一个简单的XSS查找工具
08-10
XanXSS一个简单的 XSS 查找工具
XSS高级 svg 复现一个循环问题以及两个循环问题
ikta的博客
08-06 879
再走一步,走到img了,显示打印alert(1)但还没弹窗,很明显js把dom树阻塞了,js执行完毕,img才开始执行,意味着img标签逃不过js的过滤。下面是remove,把src属性移除掉,onerror属性向前移一位,然后索引因为没有下一位了,所以循环结束,onerror属性也就留了下来。关键的是去看img中的attributes,有两个属性,一个src,一个onerror,看上去像数组一样的一个东西,有索引0和索引1。可以很明显的看到,最外层的是svg0,除了外层,里面的是svg2和svg1。...
WEB系列(二)-----------XSS
weixin_41748164的博客
02-19 369
XSS原理及基础 定义 恶意攻击者会往Web页面里插入JS代码,当用户点击网页时.镶嵌的JS代码就会执行,从而达到恶意的特殊目的. 类 存储型 反射型 DOM型 存储型XSS原理 攻击者在页面上插入XSS代码,服务端将数据存入数据库当用户访问到存在XSS漏洞的页面时,服务端从数据库中取出数据展示到页面上,导致XSS代码执行,达到攻击效果. 可能存在的位置:一切用户可以输入的位置 ...
XSS漏洞
weixin_38748673的博客
06-25 231
将JavaScript代码添加到客户端的方法是把它放置在伪协议说明符JavaScript:后的url中,这个特殊的协议类型声明了url的主体是任意的JavaScript代码,它由JavaScript的解释器运行,如果JavaScript:url中的JavaScript代码含有多个语句,必须使用号将这些语句隔开。是为了解决传统的字符编码方案的局限而产生的,他的每种语言中的每个字符设定了统一并且唯一的二进制编码,以满足跨语言、跨平台进行文本转换、处理的要求。嵌入的表达式会被计算并通常连接到周围的文本中。
关于对XSS原理析与绕过总结
最新发布
stopys6的博客
10-08 1721
如果服务器与客户端之间要传输某个特殊字符,像是<>,'等这类会被当做标签或者属性值等来解析的字符,为了避免歧义就需要使用到HTML实体化编码来进行编码了。Q2、HTML编码的几种方式别名形式:因为比较多可以见HTML 字符实体 (w3school.com.cn)十六进制:像就会被编码为<div>十进制:上述标签在十进制会被编码为<div>Q3、为什么需要JavaScript解码?通过JavaScript编码,可以对特殊字符进行转义,防止数据在传输过程中产生语法错误或安全漏洞。
使用SVG格式的xss注入
weixin_30710457的博客
01-06 2739
svg文档:https://www.w3.org/TR/SVG2/ https://svg.digi.ninja/svg此页面中包含svg方式的xss注入场景。 源代码:https://github.com/digininja/svg_xss 电子书:Mario_Heiderich_OWASP_Sweden_The_image_that_called_me 几个示例如下: 示例一: ...
XSS漏洞-常见标签
weixin_61143354的博客
09-17 1541
网络安全笔记
渗透测试基础-XSS漏洞简析
学习、分享、交流
05-17 5026
XSS原理:我们在一个网站上,输入【前端代码】,如果这个网站将我们的前端代码执行了,那么就说明这儿存在XSS漏洞。
复现一次循环两次循环
S_cx666的博客
08-03 342
复现一次循环两次循环
一个循环问题以及两个循环问题,其中两个循环需要两种不同方式实现
StriverNumber1的博客
08-03 846
一个循环问题以及两个循环问题
SVG XSS一般过程
Time Will Tell
09-24 3143
SVG 是使用 XML 来描述二维图形和绘图程序的语言。SVG可缩放矢量图形(Scalable Vector Graphics),顾名思义就是任意改变其大小也不会变形,是基于可扩展标记语言(XML),他严格遵从XML语法,并用文本格式的描述性语言来描述图像内容,因此是一种和图像辨率无关的矢量图形格式。通过在线图片转SVG,我们可以看到基本的SVG图片格式。 SVG标准 中定义了script标签的存在,<svg>遵循XML和SVG的定义,因此我们可以利用其来执行XSS。 构造一个SVG文件
xss-labs-master靶场
09-29
xss-labs-master靶场是一个用于学习和实践跨站脚本攻击(Cross-Site Scripting,简称XSS)的实验环境。可以从GitHub上下载该靶场的源码,地址是https://github.com/do0dl3/xss-labs。在这个靶场中,你可以找到各种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值