11.11科协作业 xss心得体会

于 2022-11-11 18:52:32 发布
阅读量206 收藏
点赞数
文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryhNB/article/details/127794400
版权

何为xss

恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页
面时,嵌入 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。

我对于xss题目的理解
我认为解题步骤大致分为三步,首先要找到xss的位置;其次是分析网站在该位置的防御手段(如:一些符号的实体化,一些标签的注释等等等等);最后根据分析所得,构造恰当的恶意代码,完成题目。

一些常见的payload

onfous=javascript:alert(‘xss’)
<a href=javascript:alert(‘xss’) > xss
οnclick="alert(‘xss’)
更多可见:https://swisskyrepo.github.io/PayloadsAllTheThingsWeb/

一些做题心得

  1. level2 从此题出现了对尖括号的实体化,所以payload切记生搬硬套,而是要针对性的修改
    此题的解题策略是提前闭合 *
  2. level3-4*这两题出现了引号和尖括号实体化,但是htmlspecialchars(),考虑构造 onfous=javascript:alert(‘xss’)
  3. level5-7 实体化 分割 删除过多时,可以考虑换payload,或者对关键词进行大小写,双写
  4. level8-9 若大小写 双写也被替换,还有另一种方式。可以对js代码进行编码,然后输入
  5. level10从此题开始出现多个input标签,可构造代码找到可改变的input标签 ,然后针对该标签注入恶意代码
  6. level11在10的基础上,多了一处对引号的实体化。可以使用hackbar,加入referer,然后就可以插入恶意代码
  7. level12-13与上题较为相似

小结
初次尝试xss题目,感到有些难以入手,虽然能够跟着看懂答案,听懂分析,但是距离独立完成题目还有差距。此外,我认为想要做到轻车熟路,需要不断积累的过程,不能急于求成。

ryhNB
关注
XSS学习总结
ad12456的博客
03-28 1513
xss学习
xss挑战心得(简单易懂)
xtx4506的博客
03-09 1912
作为一个呢刚刚学习web渗透的小菜鸟,一开始也是在老师的带领下接触到了xss挑战,个人感觉是很经典的题目嗷,以后就会在这里进行再学习了,这两天挑战也是记录了不少,所以希望可以记录下来,菜鸟的自我记录,大神勿喷噢 ---------------------------------------------------------------------------------------------------------------------- level 1 相信不少人和我一样看到...
对一次xss闯关的体会
cxk
03-20 272
在input标签中,没有任何过滤,闭合掉引号或者双引号,可以直接引用弹窗onclick=alert(1), <script>alert(1)</script>等直接弹窗。 当在input中过滤了>,可以用%0a直接闭合input标签(onclick=alert(1)%0a),与第一个相似;或者用事件标签oninput=alert(1),onchan...
2017.4.10 学习记录与感想 (xss、ctf、学习感想)
foolisheddy
04-10 6398
xss ctf 学习感想
xss漏洞学习心得(泪目)
小城的博客
12-02 1697
XSS学习心得大杂烩背景xss的定义xss漏洞的分类xss绕过技巧payload常见的有:绕过payload 背景 领导给了我一些资产让我去测试,发现其中藏有不少的xss漏洞,含泪做一个总结,测试的站实在是太多了。 xss的定义 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞的分类 总的来说分为三种,大家都很熟悉的啦! 分别
WEB安全的学习总结与心得(六)——XSS漏洞
weixin_44681434的博客
05-05 1138
WEB安全的学习总结与心得(六) 01 XSS漏洞之简介 属性 属性 介绍 英文全称 Cross Site Script 中文全称 跨站脚本 缩写 XSS 危害 盗取用户信息,钓鱼,制造蠕虫 类型 存储型,反射型,DOM型 漏洞类型 客户端漏洞 名字由来 由于CSS已经被层叠样式表(Cascading Style Sheets)占用了,于是业内人士就换了一个...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
XSSBypass:XSS绕过技术
05-17
**XSS(跨站脚本攻击)Bypass:探索XSS绕过技术** XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本,进而执行非授权的操作。当Web应用程序未能充分地验证和转义...
xss特殊字符拦截与过滤
最新发布
04-01
XSS攻击是指攻击者通过在Web页面插入恶意脚本代码,当其他用户浏览这些页面时,嵌入其中的脚本就会执行,从而盗取用户信息或者篡改网页。本篇代码展示了如何通过编程手段拦截和过滤这些危险代码,保障Web应用程序的...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSS学习之路
0xcc'Blog
04-15 305
#0x00:XSS XSS(Cross Site Scripting),又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行,其可向前端页面注入恶意代码。 #0x01:反射型XSS 反射型XSS恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。 PS:当我们精心构造了一个payload例如"http://localhost/pikachu/vul/x...
xss 的一些总结 (丘永华的书)
中国好利鹏
11-27 749
反射型 XSS 通常出现在网站的搜索栏,用户登入口等,常用来窃取客户端Cookies进行钓鱼欺骗。 持久性XSS 一般在网站的留言、评论、博客日志等交互处,恶意脚本被存储到客户端或者服务器的数据库中 XSS Cheat sheet http://ha.ckers.org/xss.html 二、绕过XSS-Filter     1、利用     2、利用HTM
XSS学习总结21篇
qq_45300786的博客
06-18 678
所有的文章都是看源码分析的,但是我这里推荐用抓包工具看输出 这里我要补充一下xss的相关知识(这里非常非常重要,如果连这些都不知道,是很难做xss的) 一、html标签里可以继续写html标签 <p>giegie,我你男朋友不会揍我吧<script>alert(1)</script></p> 二、html元素的属性可以触发事件(https://www.runoob.com/html/html-attributes.html) HTML 属性 HTML 元素可
XSS跨站脚本攻击原理与实践 信息安全概论学习心得
zz13634628165的博客
05-26 2568
一、实验目的 本次实验所涉及并要求掌握的知识点。 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶..
XSS漏洞个人总结
weixin_46739058的博客
04-26 2820
初级xss攻击思路,绕过
实验XSS跨站脚本攻击原理与实践 总结记录
qq_34073852的博客
06-19 2918
111
pikachu靶场 :二、XSS 跨站脚本攻击
qq_43233085的博客
01-29 836
必火靶场 :二、XSS 跨站脚本攻击XSS(跨站脚本)概述 XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。 一般XSS可以分为如下几种常见类型: 反射性XSS; 存储型XSS; DOM型XSS; XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位...
xss基础(一)
鸣蜩十四的博客
09-04 599
xss是一种经常出现的web应用中的计算机安全漏洞,是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码,进而窃取用户资料,利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 最常见的xss攻击分为两类,一种是反射性,另一种就是储存性。 1.反射性xss(reflected xss) ...
xss测试题的小总结
key_1997的博客
11-29 1760
-xss测试题的小总结function escape(input) { // tags stripping mechanism from ExtJS library // Ext.util.Format.stripTags var stripTagsRE = /<\/?[^>]+>/gi; input = input.replace(stripTagsRE, '');
XSS攻击payload脚本字典详解
资源摘要信息:"xss常见payload脚本" 1. XSS概述 XSS(跨站脚本攻击)是一种常见的网络安全攻击方式,它允许攻击者在用户的浏览器上执行恶意脚本。XSS攻击可以分为反射型、存储型和基于DOM的三种类型。攻击者通常...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值