XSS测试之编码绕过与浏览器解码机制

最新推荐文章于 2024-04-24 16:43:17 发布
VIP文章 最新推荐文章于 2024-04-24 16:43:17 发布
阅读量6.2k 收藏 4
点赞数
分类专栏: xss 绕过 编码绕过 文章标签: xss 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014171100/article/details/122215597
版权

        先了解一下和xss有关的几个解析器所支持的编码。

        1、HTML解析器

                字符实体,如:  < >

                十进制,如:  < > 

                十六进制,如:  < >

        2、JS解析器

                Unicode编码,如:\u0027 \u0022

                十六进制,如:\x27 \x22

                八进制,如:\47 \42

                反斜杠转义,如:\' \"

        3、URL解析器

                URL编码,如:%27 %22

                Base64编码,如:data:text/html;base64,PGltZyBvbmNsaWNrPWFsZXJ0KDApPg==

        上面这些除了Unicode编码(但在js的特殊字符上不好使)外,其它都是在解析器解析代码之后解码的。

        举个上帝粒子:

       <script>\u0061lert(0);</script>,这里

最低0.47元/天 解锁文章
欲不能为空
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第04篇:XSS三重URL编码绕过实例1
08-03
0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:如图,可以看到,双引号被转义了,这时候是不是有种想放弃的想法,抱着尝试的状
XSS编码问题以及绕过
热门推荐
我不是大牛
07-04 1万+
常用的编码 URL编码:一个百分号和该字符的ASCII编码所对应的2位十六进制数字。 例如“/”的URL编码为%2F # : %23 ; . :%2e ; + :%2b;< :%3c >: %3e ; ! :%21 ; 空格:%20; &: %26; (:%28; ): %29,”:%22,’:%27 常用的编码 HTML实体编码:以&开头,分号结尾的。 例如“<...
js json制表符报错_JS数据类型
weixin_39694264的博客
10-29 221
unicode编码,以下是一些特殊的字符编码》0表示结束 》10表示换行 》13表示回车 》32表示空格 》33到47表示标点 》48到57表示0到10 》65到90表示大写字母 》97到122表示小写字母》127表示删除键基本的计算机常识:1》8位一字节,存储数字,大小写字母,2的8次方是1282》16位两字节,2的16次方是65536。使用GB2312:增加收录了6000多个汉字,还有其他...
字符编码 unicode 及其在javascript 中的使用
ddk87869的博客
09-04 502
一、javascript 使用 unicode16 字符集,可以使用中文变量名和函数名 计算机使用 8 位(bit)二进制表示一个字节(Byte),计算机内存最小寻址单位就是 1 字节。早期为了在计算机上使用同一的方式使用字符,使用无符号整数来标记字符。ANSI(美国国家标准局)制订了ASCII(American Standard Code for Information Interch...
浏览器编码解码XSS详解
qq_43936524的博客
02-17 1634
文章目录浏览器的工作流程浏览器的主要构成浏览器的渲染引擎和解释器浏览器中的编码类型url编码html实体编码unicode编码浏览器解析浏览器的工作流程 浏览器的主要构成 用户界面- 包括地址栏、后退/前进按钮、书签目录等,也就是你所看到的除了用来显示你所请求页面的主窗口之的其他部分 浏览器引擎- 用来查询及操作渲染引擎的接口 渲染引擎- 用来显示请求的内容,例如,如果请求内容为html,它负责解析html及css,并将解析后的结果显示出来 网络- 用来完成网络调用,例如http请求,它具有平台无
Web常用攻击手段之XSS脚本
juzhenxing的博客
09-26 141
防御之前 防御之后 如何防御? 使用过滤器对特殊字符进行转义 代码实现 //重写getParameter方法, 对特殊字符进行转义 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { private HttpServletRequest httpServletRequest; ...
xss绕过方法
sinri的博客
01-30 3191
xss绕过方法 1.改变大小写 将大小写穿插编写 <script>alert(“xss”);</script> 可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 2.关闭标签 利用大于号>关闭标签使得xss生效 ><script>alert(“Hi”);</script> 3.利用html标签触发事件 很多标签都可以对过滤进行绕过 格式:< 标签 事件 = 执行语句 例如: <p
解决xss转义导致转码的问题
weixin_39555954的博客
08-15 1220
解决xss转义导致转码的问题
[JavaWeb]_[初级]_[对Html特殊符号进行转义防止XSS攻击和反转义]
Tobey(我是机器人)
11-03 1660
场景 在开发Java Web程序时,为了防止XSS的JavaScript攻击, 需要对用户输入转义,使JavaScript脚本不能执行. 在前端可以通过获取<div>的innerHTML属性来获取转义内容,但是在服务端如何进行转义?因为客户端是可以绕过的. 说明 HTML内容的转义在开发Web时肯定是必须做的,在入数据库之前得转义,而不是在用的时候再转义。主要是防止在使用这类数据的时候忘记没有转义导致的XSS安全问题. 转义HTML字符主要涉及到5个字符<>"'&
XSS三重URL编码绕过实例.pdf
04-22
价值5999,vip免费阅读,可用于实战拟态,渗透测试学习,资源复现,红蓝对抗,攻防打点,漏洞复现,技术考证、权限维持,应急响应,Hvv实战
Web安全测试XSS
01-31
XSS 全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。...作为测试人员,需要了解XSS的原理,攻击场景,如何修复。才能有效的防止XSS的发生。假如有下面一个textbox<inputtype=
Web安全测试XSS实例讲解
09-01
本文主要介绍Web安全测试XSS,这里详细整理了测试XSS的资料,并附示例代码和详细讲解,有需要的小伙伴可以参考下
Web安全XSS攻击与防御小结
02-23
(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。(2)存储型:...
什么是 XSS 攻击?
m0_38066007的博客
04-23 78
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
ctfshow——XSS
qq_55202378的博客
04-24 1032
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码,当用户浏览该页之时,嵌入其中 Web 里面的 HTML 代码会被执行,从而达到恶意攻击用户的特殊目的。
pikachu-xss
2303_81631620的博客
04-23 325
按原本的做法,应该先写一个script标签测试一下,但是发现有字符限制。
Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
JINGWHALE
04-22 943
本文介绍了Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 983
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
全视通智慧手术室对讲方案,让手术更安全更高效
最新发布
2301_78035670的博客
04-24 451
全视通智慧手术室对讲方案通过整合等候区公告屏、医护主机、手术间门口机、复苏室主机等多个模块和设备,专用于手术室、护士站、谈话间、复苏室、器械室和其他协同部门,实现了对手术流程的全面管理和监控。
xss之PHP_SELF绕过
03-29
在使用PHP_SELF时,如果没有进行适当的过滤和验证,攻击者可以通过构造恶意的输入来绕过安全措施,从而进行XSS攻击。一种常见的绕过方式是通过在URL中注入恶意的脚本代码。 为了防止XSS攻击,我们应该对用户输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值