不可见(hidden)input标签触发XSS

最新推荐文章于 2023-08-07 11:15:33 发布
最新推荐文章于 2023-08-07 11:15:33 发布
阅读量1.1k 收藏
点赞数
原文链接:http://www.cnblogs.com/ssjt/articles/10197838.html
版权

在寻找XSS的过程中,会发现从POST或者URL中参数拿到INPUT中存放,但这些input都是hidden不可见的,通过F12调试,查看构造出来的代码确实存在点击事件,但是总是触发不了

通过网上查询资料,最总找到使用一个比较高级一点属性accesskey=""来触发不可见标签事件,accesskey是HTML语言标签中的一个全局属性

 <input type="hidden" name="" accesskey="x" onclick="alert(/xss1/)">

使用方式:
1473748-20181229202125435-460320586.png


提示: 各种浏览器下accesskey快捷键的使用方法:

IE浏览器

按住Alt键,点击accesskey定义的快捷键(焦点将移动到链接),再按回车.

FireFox浏览器

按住Alt+Shift键,点击accesskey定义的快捷键.

Chrome浏览器

按住Alt键,点击accesskey定义的快捷键.

Opera浏览器

按住Shift键,点击esc,出现本页定义的accesskey快捷键列表可供选择.

Safari浏览器

按住Alt键,点击accesskey定义的快捷键.

经过测试,只有FireFox通过。比较遗憾

最总解决方案思路

  • F12 在控制台使用js代码通过dom定位input
  • 使用js修改input type属性值为text,然后点击事件触发

<input type="hidden" id="xss" value="123"  onclick="alert(/xss2/)">
控制台输入:
 document.getElementById("xss").setAttribute("type","text");

其实更加高级一点就是将修改属性的那一步一并封装到input事件中,就是代码长了一点

在最近项目中遇到的是代码中可能使用了某种过滤规则,导致我输入<>或者(),只要走中间加入字母就会被拦截,无奈使用了跳转展现出来触发效果,使用了window.location.href='xxx'

转载于:https://www.cnblogs.com/ssjt/articles/10197838.html

weixin_33963594
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
怎么使用input执行xss攻击_XSS场景及修复方案总结
weixin_32562973的博客
01-16 4627
xss原理跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页之时,嵌入其中Web里面的javaScript代码会被执行,从而达到恶意攻击用户的目的。xss分类反射型存储型DOM型xss场景和防御1. 恶意数据出现在标签内<body> ...恶意数据 </body>漏洞代码Strin...
Hidden属性的input标签XSS触发方法
热门推荐
CC's Blog
03-31 1万+
今天看到一个XSS漏洞,插入点在一个有hidden 属性的input 标签,大致情况如下:<input type="hidden" name="returnurl" value="[USER INJECT]" />正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于该input 未在页面中显示,常用
【应用安全——XSSinput-hidden
Fly_鹏程万里
02-22 789
1、使用expression突破 &lt;input type=hidden style="x:expression(alert(/xss/))"&gt; 直接利用CSS的expression属性来实现突破,此技巧适用于IE6及以下的浏览器。 2​、使用accesskey突破 &lt;input type="hidden" accesskey="X" onclick="alert(/x...
隐藏参数中的XSS
qq_43776408的博客
07-29 608
HTML表单隐藏 burp抓包测试 抓包发现 即便是hidden属性的值 在抓到包之后也能看到值 值为hackme 第四关 第四关的题和第三关表面看一样 HTML的svg介绍 闭合触发XSS 第一个双引号是为了闭合前面的引号 %0a个人感觉是换行的 感觉和下面的和svg没关系啊 你直接找hidden 找打了hidden就用这一篇讲的方法 你可以现在burp中对p1和p2参数进行测试 直接写入代码 发现不行 第三关对p1参测试不可以 但是第三关对p2参数测试可以 现在是对p1和p2测试都不可以 都把
Input hidden Monitor-crx插件
04-01
总的来说,Input hidden Monitor-crx插件是开发者和安全专业人员的一个强大工具,它提供了对网页中隐藏输入元素的可见性和控制,增强了开发和调试过程的效率,同时也为保障网络安全提供了一种有效的监控手段。...
第四节 隐藏提交参数中的XSS-01
最新发布
09-15
HTML表单隐藏参数是指在HTML表单中使用type="hidden"的input元素来收集或发送信息的不可见元素,对于网页的访问者来说是看不见的。隐藏域的作用是将信息发送到服务器上,以便在服务器端进行处理。隐藏域的代码格式为...
php头像上传预览实例代码
10-19
在PHP中实现头像上传预览功能,...其中,`<input type="file">`用于让用户选择本地的图片文件,`<input type="hidden">`用于存储文件类型信息。 ```html <!-- 按钮触发模态框 --> 上传头像 <!-- 模态框(Modal) --> ...
form+iframe解决跨域上传文件的方法
11-28
`target`属性设为`hidden_frame`,这意味着表单提交后,响应将加载到名为`hidden_frame`的`iframe`中。`iframe`被设置为`display:none`,因此用户看不到它的存在,但仍然能处理后台的响应。 `<form>`内部包含了多个...
tinyMCE插件开发之插入html,php,sql,js代码 并代码高亮显示_.docx
10-09
echo '<input type="hidden" name="codetype" id="codetype" value="'.$codetype.'" />'; echo '<input type="button" name="Submit" value="提交" onclick="insertcode()" style="border:1px solid #000; line-...
32个触发事件XSS语句的总结
04-01
32个触发事件XSS语句的总结,新人学习xss必看!
Input XSS最新漏洞及利用
06-12
我们知道,如果要使XSS能够实现,我们的代码必须通过某种方式嵌入到对方的网页中。像注入漏洞的“’”、“and 1=1”和“and 1=2”一样,Input XSS也有自己的漏洞检测字符串,它们就是“<>”、“<iframe>”和 “<script>alert(/xss/)</script>”。如果当你在Input框中输入“<>”,并在新 页面的源代码中找到这对标签的话,那么基本上就说明它存在Input XSS漏洞;而“<iframe>”则是它的可视化检测方式;如果“<script>alert(/xss/)< /script>”能够实现,则证明该页面可以实行脚本攻击,但是否可以被插入脚本,在本次的测试里亦不是非常重要,后面你将会知道。
web登录页面代码_XSS实战之登录钓鱼网站后台
weixin_39974882的博客
12-10 2528
前言感觉最近被盗号的很多,好朋友账号被盗,我竟然傻乎乎的转了200大洋。本篇就以钓鱼为主题,只是让大家提升一下对盗号的认识和理解,让大家对于钓鱼盗号有所防范。XSS漏洞之前写过一篇文章讲解XSS漏洞分类以及危害,XSS是跨站脚本攻击,属于被动式的攻击。XSS指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而达到特殊目的。最常见的就是...
怎么使用input执行xss攻击_萌新向 | 输入框因何频受攻击?
weixin_32401075的博客
01-08 2970
萌新向XSS漏洞导言:我们决定特别建立一个专辑,以帮助没有基础的人快速入门。该专辑与同样分为Web与二进制两项,但与公众号的专辑区别在于,我们将着重引导新生入门,讲述最简单、最基础的知识,事无巨细地讲述相关知识点与操作,即使你对计算机一无所知,我们也相信,你能跟随着我们的文章,满足你之前对于安全的一些想象。如果你对安全一无所知却又非常感兴趣,那么,我们的文章将会是你入门的最佳选择。我们的...
xss注入
qq_63267612的博客
07-03 1468
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户目的。 XSS危害:XSS分类测试管理界面是否存在XSS: 在用户名框中输入">(闭合input标签) 结果,界面弹窗,证明该系统存在XSS注入 上一步验证得出,该页面存在XSS漏洞。接下来针对该漏洞
html中input hidden,HTML DOM Input Hidden用法及代码示例
weixin_29447621的博客
07-03 922
HTML DOM中的Input Hidden对象表示类型为“hidden”的元素。可以使用getElementById()方法访问该元素。用法:document.getElementById("id");将id分配给标签的位置。属性值:defaultvalue:它用于设置或返回隐藏输入字段的默认值。form:它返回包含隐藏输入字段的表单的引用。name:它用于设置或返回隐藏输入字段的名称属性值。t...
input禁止输入html转义字符串,xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义...
weixin_39655689的博客
06-07 1078
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义XSS攻击的防范XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执行的代码,因此我们要对用户的输入进行HTML转义处理,将其中的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“&lt;”,“>”转义后为“&gt;”,“‘”转义后为“...
跨站脚本漏洞
weixin_46729085的博客
09-08 3751
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:&...
XSS(跨站攻击)
知世郎
08-07 359
XSS 又称CSS(Cross Site Scripting)或跨站脚本攻击,攻击者在网页中插入由JavaScript编写的恶意代码,当用户浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。
3. XSS事件触发绕过
08-03
XSS事件触发绕过是指绕过XSS防御机制,成功触发XSS攻击。根据引用[1]和引用[2]的内容,可以得出一些绕过XSS防御的方法。其中一种方法是改变请求方式,将POST请求改为GET请求,然后通过访问URL来执行恶意代码。另一种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值