xss绕过字符过滤_WEB安全之XSS攻击方式与防御方式

最新推荐文章于 2024-06-20 02:49:18 发布
最新推荐文章于 2024-06-20 02:49:18 发布
阅读量1k 收藏
点赞数
文章标签: xss绕过字符过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33483567/article/details/112332330
版权
本文探讨了XSS的常见攻击方法,如利用HTML标签、事件和编码绕过过滤,以及DOM型XSS。同时,提出了防御XSS的策略,包括使用XSS Filter、HTML实体编码、JavaScript编码和设置Http Only cookie,强调对用户输入数据进行严格过滤和编码的重要性。
摘要由CSDN通过智能技术生成

上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式与防御方式,一起去了解一下~

XSS 常见攻击方法

1、绕过 XSS-Filter,利用 <> 标签注入 Html/JavaScript 代码;

2、利用 HTML 标签的属性值进行 XSS 攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的 Web 浏览器都支持 Javascript 伪协议,所以此类 XSS 攻击具有一定的局限性)

3、空格、回车和 Tab。如果 XSS Filter 仅仅将敏感的输入字符列入黑名单,比如 javascript,用户可以利用空格、回车和 Tab 键来绕过过滤,例如:<img src=“javas cript:alert(/xss/);”/>;

4、利用事件来执行跨站脚本。例如:<img src=“#” οnerrοr= “alert(1)”/>,当 src 错误的视乎就会执行 onerror 事件;

5、利用 CSS 跨站。例如:body {backgrund-image: url(“javascript:alert(‘xss’)”)};

6、扰乱过滤规则。例如:<IMG SRC=“javaSCript: alert(/xss/);”/>;

7、利用字符编码,通过这种技巧,不仅能让 XSS 代码绕过服务端的过滤,还能更好地隐藏 Shellcode;( JS 支持 unicode、eacapes、十六进制、十进制等编码形式);

8、拆分跨站法,将 XSS 攻击的代码拆分开来,适用于应用程序没有过滤 XSS 关键字符(如<、>)却对输入字符长度有限制的情况下;

9、DOM 型的 XSS 主要是由客户端的脚本通过 DOM 动态地输出数据到页面上,它不依赖于提交数据到服务器,而是从客户端获得DOM中的数据在本地执行。容易导致 DOM 型的 XSS 的输入源包括:Document.URL

Location(.pathname|.href|.search|.hash)、Document.referrer、Window.name、Document.cookie、localStorage/globalStorage;

XSS 如何防御?

从上面的介绍可知,XSS 漏洞是由于对用户提交的数据没有经过严格的过滤处理造成的,所以防御的原则就是不相信用户输入的数据,对输入进行过滤,对输出进行编码。

1、使用 XSS Filter

针对用户提交的数据进行有效的验证,只接受我们规定的长度或内容的提交,过滤掉其他的输入内容。比如:

表单数据指定值的类型:年龄只能是 int 、name 只能是字母数字等。
过滤或移除特殊的 html 标签:<script>、<iframe>等。
过滤 js 事件的标签:onclick、onerror、onfocus等。


2、html 实体

当需要往 HTML 标签之间插入不可信数据的时候,首先要做的就是对不可信数据进行 HTML Entity 编码,在 html 中有些字符对于 HTML 来说是具有特殊意义的,所以这些特殊字符不允许在文本中直接使用,需要使用实体字符。 html 实体的存在是导致 XSS 漏洞的主要愿意之一,因此我们需要将实体转化为相应的实体编号。

da2318303c97ac25d3707c87dccae517.png


3、JavaScript编码

这条原则主要针对动态生成的JavaScript代码,这包括脚本部分以及HTML标签的事件处理属性(如onerror, onload等)。在往JavaScript代码里插入数据的时候,只有一种情况是安全的,那就是对不可信数据进行JavaScript编码,并且只把这些数据放到使用引号包围起来的值部分(data value)之中,除了上面的那些转义之外,还要附加上下面的转义:

 转成 
/ 转成 /
; 转成 ;(全角;)


注意:在对不可信数据做编码的时候,不能图方便使用反斜杠 对特殊字符进行简单转义,比如将双引号 ”转义成 ”,这样做是不可靠的,因为浏览器在对页面做解析的时候,会先进行HTML解析,然后才是JavaScript解析,所以双引号很可能会被当做HTML字符进行HTML解析,这时双引号就可以突破代码的值部分,使得攻击者可以继续进行XSS攻击;另外,输出的变量的时候,变量值必须在引号内部,避免安全问题;更加严格的方式,对除了数字和字母以外的所有字符,使用十六进制xhh 的方式进行编码。

4、Http Only cookie

许多 XSS 攻击的目的就是为了获取用户的 cookie,将重要的 cookie 标记为 http only,这样的话当浏览器向服务端发起请求时就会带上 cookie 字段,但是在脚本中却不能访问 cookie,这样就避免了 XSS 攻击利用 js 的 document.cookie获取 cookie。

睿江云官网链接:www.eflycloud.com

allegrohq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1563
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
xss攻击突破转义_WEB安全XSS攻击方式防御方式
weixin_39520393的博客
11-21 878
上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式防御方式,一起去了解一下~XSS 常见攻击方法1、绕过 XSS-Filter,利用 <> 标签注入 Html/JavaScript 代码;2、利用 HTML 标签的属性值进行 XSS 攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的 Web...
XSS跨站脚本攻击_反射型跨站脚本攻击需要过滤字符
最新发布
2301_76224593的博客
06-20 1018
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号。
xss绕过字符过滤_xss绕过过滤方法
weixin_39654848的博客
12-21 951
很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦<>被转换掉,什么就会转换成“<script src=1.js></script>”,不能执行,因此,很多人认为只要用户的输入没有构成<&...
xss绕过字符过滤_绕过XSS过滤规则
weixin_39576751的博客
12-21 431
相信大家在做***测试的时候都有过这样的经历,明明一个XSS的漏洞,但是却有XSS过滤规则或者WAF保护导致我们不能成功利用,比如我们输入alert("hi"),会被转换为alert(>xssdetected...
XSS Filter绕过
aiquan9342的博客
11-30 178
之前挖到某金融网站的xss 但是困于xss filter无奈不好下手。只能在火狐下弹窗。 以下该图是我的测试。 后来发给一个Invoker哥们儿。成功给我发来payload成功绕过XSS Filter http://www.xxx.com/news.asp?lx=7&page=1%3Ca%20href=%22data:text/html;base64,...
web安全XSS攻击防御pdf
08-25
### Web安全XSS攻击防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...
XSSBypass:XSS绕过技术
05-17
总之,XSS绕过技术是一门深奥且不断发展的学问,需要持续关注新的攻击手法和防御策略,以保护Web应用程序免受这种威胁。通过深入研究XSSBypass-master这样的资料,我们可以更好地理解和应对XSS挑战,提高网络环境的...
防止xss和sql注入:JS特殊字符过滤正则
12-01
有些攻击者可能会使用编码或转义技术绕过这种简单的过滤。为了更全面地防止XSS,应当结合其他防御措施,如使用Content Security Policy (CSP)、输入验证、HTML编码、输出编码等。 对于SQL注入,预防的最佳做法是...
xss绕过字符过滤_XSS绕过实战练习
weixin_39640203的博客
12-21 736
前言写这篇博文起源来自于一次网络安全实验课,在实验虚拟环境里有一个xss挑战,估计是搬别人的xss挑战进来,我觉得挺有意思,就记录一下。有些关卡不能再虚拟环境实践,我在自己物理机上找到那个xss挑战平台进行实现。level1未进行过滤,直接输入payloadpayload:alert(/xss/)level2发现对html特殊符号进行了实体编码,失效,但是发现下面input标签里还有一个输出点,可...
Xss字符编码突破过滤方法总结
02-11
详细介绍了主流的9种Xss字符编码突破过滤方法,纯手工,欢迎交流学习。
XSS危险字符以及其处理方法
01-12
本文档包含了XSS危险字符的基本介绍,以及与其对应的在java以及JSP中的处理方法
防止XSS攻击封装
weixin_30682415的博客
08-12 386
<?php if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 // ...
xss绕过字符过滤_技术研究 | 绕过WAF的常见Web漏洞利用分析
weixin_42364539的博客
12-19 281
前言本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法,希望能起到抛砖引玉的效果。如果师傅们有更好的方法,烦请不吝赐教。PS:本文仅用于技术研究与讨论,严禁用于任何非法用途,违者后果自负,作者与平台不承担任何责任测试环境PHPStudy(PHP5.4.45+Apache+MySQL5.5.53)+最新版安全狗(4.0.28330)靶场使用DVWA:ht...
绕过XSS-Filter
m0_51426816的博客
02-25 676
XSS-Filter: 基于黑白名单的安全过滤策略,实际上是一段过滤函数 绕过: (1)利用< >标记注射Html和Javascript 通过引入< >操作HTML标签,然后利用标签任意插入由JavaScript编写的恶意脚本代码。 (2)利用HTML标签属性值执行XSS 很多HTML标记中的属性都支持javascript:[code]伪协议形式,声明URL的主体是JavaScript代码,由JavaScript的解释器运行,但不是所有Web浏览器都支持JavaScript伪协议,也
xss绕过字符过滤_XSS过滤绕过总结
weixin_39610353的博客
12-21 1237
XSS过滤绕过总结黑名单过滤绕过黑名单模式下的过滤器是最常见的。他们的目标是检测特定模式并防止恶意行为。这完全是“模式”的问题,它们越准确,就越可以拦截攻击。1. 注入脚本代码主要是标签,可用于执行客户端脚本代码,例如JavaScript。 它是为此目的而设计的,当然,这是大多数过滤器阻止的第一个首选。1.1 绕过弱标签过滤简单的过滤器无法涵盖所有可能的情况,所以可以绕开它们。 以下示例仅是对...
xss filter绕过技巧
Sp4rkW的博客
09-01 2501
首先提一句,绕过filter的技巧前提是其没有过滤完全 比如: &lt;div&gt; &lt;?php echo htmlspecialchars($_POST['xss']); ?&gt; &lt;/div&gt; 这种就根本没法操作了 看完《白帽子讲web安全xss一篇,简单总结一些常用的可能存在的技巧: 转换大小写 大小写混写 双引号改...
XSS攻击绕过过滤方法大全(转)
热门推荐
mingyqf的博客
04-20 2万+
XSS攻击绕过过滤方法大全(约100种) 虽然说很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS注入。 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录,现在此XSS备忘录将由OWASP维护和完善它。 OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Cheat She
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值