xss 全编码两次_XSS平台简单使用

最新推荐文章于 2022-05-05 14:44:31 发布
最新推荐文章于 2022-05-05 14:44:31 发布
阅读量250 收藏
点赞数
文章标签: xss 全编码两次
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39559804/article/details/111488501
版权

XSS常用语句及编码绕过

XSS常用的测试语句有:

常见的XSS的绕过编码有JS编码、HTML实体编码和URL编码

JS编码

JS提供了四种字符编码的策略,如下所示。

三个八进制数字,如果个数不够,在前面补0,例如“e” 的编码为“\145” ;

两个十六进制数字,如果个数不够,在前面补0,例如"e" 的编码为"\x65" ;

四个十六进制数字,如果个数不够,在前面补0,例如"e" 的编码为“\u0065”;

对于一些控制字符,使用特殊的C类型的转义风格(例如和\r) 。

HTML实体编码

命名实体:以&开头,以分号结尾的,例如"

字符编码:十进制、十六进制ASCII码或Unicode字符编码,样式为"数值;",例如"

URL编码

这里的URL编码,也是两次URL全编码的结果。如果alert被过滤,结果为%25%36%31%25%36%63%25%36%35%25%37%32%25%37%34。

在使用XSS编码测试时,需要考虑HTML渲染的顺序,特别是针对多种编码组合时,要选择合适的编码方式进行测试。

使用XSS平台测试XSS漏洞

XSS在线平台

首先在XSS平台注册账并登录,单击"我的项目”中的“创建” 按钮,页面中的名称和描述是分类的,随意填写即可。

勾选“默认模块”选项后单击"下一步”按钮。这里不要太多模块都勾选,非常非常容易导致JS报错,如果报错,那么可能你就收不到对方的中招信息了。尽量只勾选一个或两个。这里说明一下,注意上方的红框,这里最好是复制上方第一个红色方框中的内容,例如: 这个就是项目给你的代码,这里说一下你需要测试的网站是https的网站且你的XSS平台也支持https那么你可以把这个代码改成 这样。

这里还要说明一下,其实当网站前面是//的时候,代码会自动适配网站,如果对方网站是https的那么代码会自动从https加载,如果对方网站是http的那么代码会从http加载。所以,默认的这种方式是最好的插入方式。页面上显示了多种利用代码,在实际情况中, 一般会根据HTML源码选择合适的利用代码,以此构造浏览器能够执行的代码,这里选择第二种利用代码。

将利用代码插入到存在XSS漏洞的URL后,检查浏览器缓存加载文件。发现浏览器成功执行XSS的利用代码

然后如果对方中招了,那么你的XSS平台就会有收到对方的信息。

回到XSS平台,可以看到我们已经获取了信息,其中包含来源地址、cookie、IP、 浏览器等,如果用户处于登录状态,可修改cookie并进入该用户的账户。

XSS漏洞修复建议

因为XSS漏洞涉及输入和输出两部分,所以其修复也分为两种。

过滤输入的数据,包括 '、"、、on* 等非法字符。

对输出到页面的数据进行相应的编码转换,包括HTML实体编码、JavaScript编码等。

weixin_39559804
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS-Codec XSS代码转换工具
01-14
XSS代码转换工具,用于XSS代码的转换
XSS注入-XSS中的编码
qq_25899635的博客
05-26 2732
字符编码的作用   在实际环境中,XSS注入的脚本很可能会被XSS Filter过滤,这是就可以尝试使用不同的字符编码进行绕过服务端检查,同时也可以更好的隐藏shellcode。在线编码地址: https://www.toolmao.com/xsstranser HTML编码   HTML标签中的某些属性值可以使用 &#ASCII方式进行编码改写,并且支持十进制和十六进制。例如将 中的j...
用UNICODE进行 XSS WAF绕过
m0_48520508的博客
07-16 798
嗨,读者们 通过标题,您可能会知道这是有关使用UNICODE进行 XSS WAF绕过的文章。因此,让我们对我正在测试的应用程序有个小想法。有一个名为“稍后保存” 的选项,该选项可将您的帐户中的项目保存起来以备后用。该请求看起来像: 如果对用户进行了正确的身份验证,则此发布请求会将项目保存在用户帐户中,以供以后使用;如果对用户进行了不正确的身份验证,则该请求仅会返回一些值。因此,我在参数上手动进行模糊处理,并且注意到传递的参数值在响应主体中得到反映,而在经过身份验证和未经身份验证的场景中都没有适当的转义。我
XSS测试代码大————
11-03
XSS测试代码 安测试 XSS测试代码大
关于XSS的复合编码
公众号shadow sock7
06-16 1132
参考: http://www.freebuf.com/articles/web/43285.html复合编码所谓复合编码,也就是说输出的内容输出在多个环境中,例如<td onclick=”openUrl(add.do?userName=’<%=value%>’);”>11</td>value的内容首先出现在一个URL中,这个URL在一段javascript中,而javascript代码又是html
第04篇:XSS三重URL编码绕过实例1
08-03
然而,当双引号经过两次URL编码(%2522)后,服务器并没有将其还原为标准的URL编码形式(%22),而是进一步解码成了实际的双引号(")。这表明服务器端可能在接收参数后,不仅解码了一次URL,还将其直接输出到HTML中...
通过XSS和Oauth维护帐户持久性
08-10
4. **JavaScript中的安实践**:在JavaScript开发中,为了防止XSS,开发者应遵循一些最佳实践,如使用的库(如DOMPurify)来清洗用户输入,避免在JavaScript中硬编码敏感信息,以及利用HTTPOnly Cookie防止令牌...
【实战篇】第20篇:SQL二次编码注入漏洞实例(附tamper脚本)1
08-03
另外,在实战中,遇到SQL、XSS二次编码绕过的情况,也有遇到的,所以除了单引号,双引号,也应注重%2527、%2522进行测试。 五、结论 SQL二次编码注入漏洞是非常危险的漏洞,攻击者可以通过双重URL编码绕过应用程序...
Discuz_X3.3_SC_UTF8.zip
07-07
该版本引入了多重安防护机制,如防止SQL注入、XSS跨站脚本攻击,以及对敏感操作的二次确认,保障了用户数据的安。同时,定期更新的安补丁,可以有效抵御最新的网络威胁。 最后,用户体验是Discuz! X3.3 SC_...
PHP.URL.design.process.code.rar_The Process_url shortening
09-21
因此,通常会采用Base62编码(包含0-9,A-Z,a-z),将哈希值转化为更友好的字符串。 3. **短码与长URL关联**:生成的短码会与对应的长URL在数据库中建立映射关系,以便于后续的短码解析。 4. **短码解析**:当...
对于xss等有关的html,url,unicode编码做的一个小总结。
weixin_30385925的博客
08-05 769
参考:http://bobao.360.cn/learning/detail/292.html,算是对前部分作一个总结性的学习。 1<a href="%6a%61%76%61%73%63%72%69%70%74:%61%6c%65%72%74%28%31%29"></a> URL 编码 "javascript:alert(1)" JavaScript是个伪协议,对协议...
ctf中文转unicode_CTF/CTF练习平台-XSSxss注入及js unicode编码及innerHTML】
weixin_30842027的博客
02-23 322
原题内容:javascripthttp://103.238.227.13:10089/cssFlag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxxhtml题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入sjava补充了这个,好了,继续作题xss右键源码学习var s="";document.getElementById('s')....
xss防御
weixin_43326436的博客
06-09 762
1.xss防御的总体思路是:对用户的输入(和URL参数) 进行过滤,对输出进行html编码,也就是对用户的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容,然后对动态输出页面的内容进行html编码,使脚本无法在浏览器中执行。 2.对输入的内容进行过滤,可以分为黑名单过滤和白名单过滤,黑名单虽然可以拦截大部分的xss攻击,但是还是存在被绕过的风险,白名单过滤虽然可以基本杜绝xss攻击,但是真实环境中一般是不能进行如此严格的白名单过滤的。 3.对输出进行html编码,就是通过函数,将用
XSS编码
weixin_46611504的博客
03-24 2087
一:html编码 背景:html编码是用于输出html原本的标签的 比如我想在页面上输出div标签,但是如果我在html标签里直接写的话,就会被当成div标签执行,并不会输出在页面上,这个时候我想将他输出在页面上就需要用html编码 XSS中的应用:这种编码的形式可以用来去绕过一些过滤,比如,有些会过滤掉script ,alert,< >这样的危险的符号,这个时候,就可以用Html编码...
XSS备忘录(转)
weixin_47306547的博客
09-17 1336
目录 原文地址:http://drops.wooyun.org/tips/1955 介绍 测试 xss 探测器 xss 探测器2 无过滤绕过 通过javascript指令实现的图片xss 无引号无分号 不区分大小写的xss攻击向量 html 实体 重音符混淆 畸形的A标签 畸形的IMG标签 fromCharCode 默认SRC属性去绕过SRC域名检测过滤器 默认SRC属性通过省略它的值 默认SRC属性通过完不设置它 通过error事件触发alert 十进制html编码
手把手教你搭建XSS平台
seek_2022的博客
05-05 1万+
出于学习和技术分享的目的研究了一下XSS平台搭建的方法,由于网络上的教程虽然很多,但是对于很多细节的讲解不够深入,现将XSS平台搭建方法分享给大家。
如何进行页面编码转换
06-06 1454
用中文进行页面显示,总会遇到这样那样的编码问题,现根据我的经验谈谈编码转换。 如果想把一个JSP页面从一种编码转换到另一种编码,例如从GBK到UTF-8,或者相反,可以采取以下方法。1、一般notepad打开的文档不会自动编码,可以作为转换的中转站;2、新建一个notepad文件,定义编码方式(这就是你要生成的目标文件),例如: 然后保存为*.jsp,*代表你的文件名;3、用有
Web常见漏洞修复建议
weixin_34236869的博客
04-03 813
一、SQL注入修复建议 1.过滤危险字符,例如:采用正则表达式匹配union、sleep、and、select、load_file等关键字,如果匹配到则终止运行。 2.使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中,而是使用占位符实现对数据库的增删改查。 二、XSS修复建议 1.过滤输入的数据,例如:“ ‘ ”,“ “ ”,” < “,” > “,”on*...
CTF/CTF练习平台-XSSxss注入及js unicode编码及innerHTML】
热门推荐
Sp4rkW的博客
08-31 1万+
原题内容: http://103.238.227.13:10089/ Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx 题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s 补充了这个,好了,继续做题 右键源码 &lt;script&gt; var s=""; docu...
XSS跨站脚本 xss_script_tag
最新发布
07-09
X(跨站脚本攻击)是一种常见网络安漏洞,攻击者通过注恶意脚本代码来攻击网站的用户。其中,xss_script_tag指的是一种XSS攻击的方式,即通过在HTML标签中嵌入恶意脚本。 例如,攻击者可能会在一个script标签中插入恶意代码,以获取用户的敏感信息或执行其他恶意操作。这种攻击方式通常利用网站对用户输入的不正确处理,从而使攻击者能够注入和执行自己的脚本代码。 为了防止XSS攻击,开发者应该采取以下措施: 1. 输入验证:对用户输入进行验证和过滤,确保只接受预期的输入,过滤掉任何可疑的或恶意的代码。 2. 输出编码:在将用户输入显示在网页上之前,对其进行适当的编码,以防止浏览器解析恶意脚本。 3. 使用CSP(内容安策略):CSP是一种HTTP头部,它允许网站管理员控制网页中允许加载的资源来源。通过配置CSP,可以限制恶意脚本的执行。 4. 尽量避免使用动态生成HTML:如果必须使用动态生成HTML,请确保对于引入用户输入的部分,进行适当的编码和过滤。 通过采取这些措施,开发者可以降低网站受到XSS攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值