xss绕过字符过滤_XSS过滤器绕过总结

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量1.2k 收藏 2
点赞数
文章标签: xss绕过字符过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39610353/article/details/111791819
版权

XSS过滤器绕过总结

黑名单过滤器绕过

黑名单模式下的过滤器是最常见的。他们的目标是检测特定模式并防止恶意行为。这完全是“模式”的问题,它们越准确,就越可以拦截攻击。

1. 注入脚本代码

主要是

1.1 绕过弱

简单的过滤器无法涵盖所有可能的情况,所以可以绕开它们。 以下示例仅是对弱规则的一些绕过。

#大写和小写字符

#标签后加随机字符串

ipt>alert(1)ipt> #嵌套标签(双写)

alert(1) #NULL字节

1.2 ModSecurity > 基于标签的XSS向量规则

这是ModSecurity过滤

SecRule ARGS "(?i)(

显然,我们插入脚本代码方法不是唯一的。 有多种方法可以运行我们的代码,例如不同的HTML标签和相关的事件。

1.3 除

show

send

send

#可使用https://github.com/evilcos/xss.swf

1.4 除

事件是访问者与HTML DOM之间交互性的方式; 这只需通过执行客户端代码(JavaScript)来实现。

几乎所有事件处理程序标识符都以on开头,后跟事件名称。 最常用的一种是onerror,

常用On事件

onsearch

onwebkitanimationend

onwebkitanimationiteration

onwebkitanimationstart

onwebkittransitionend

onabort

onblur

oncancel

oncanplay

oncanplaythrough

onchange

onclick

onclose

oncontextmenu

oncuechange

ondblclick

ondrag

ondragend

ondragenter

ondragleave

ondragover

ondragstart

ondrop

ondurationchange

onemptied

onended

onerror

onfocus

onformdata

oninput

oninvalid

onkeydown

onkeypress

onkeyup

onload

onloadeddata

onloadedmeta

最低0.47元/天 解锁文章
weixin_39610353
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1504
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
xss攻击突破转义_WEB安全之XSS攻击方式与防御方式
weixin_39520393的博客
11-21 869
上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式与防御方式,一起去了解一下~XSS 常见攻击方法1、绕过 XSS-Filter,利用 <> 标签注入 Html/JavaScript 代码;2、利用 HTML 标签的属性值进行 XSS 攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的 Web...
XSS过滤器
qq_39195606的博客
04-25 127
xss过滤器,以及自定义注解
Sqli-labs Less25-28 绕过过滤函数对字符过滤 - GET
kevinhanser
08-10 499
本文记录 SQL 注入的学习过程,资料为 SQLi SQLi 博客目录 Less - 25: GET - Error based - All your OR &amp; AND belong to us - String Single Quote 源代码 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; function...
Xss字符编码突破过滤方法总结
02-11
详细介绍了主流的9种Xss字符编码突破过滤方法,纯手工,欢迎交流学习。
过滤关键字防止XSS攻击
weixin_30950887的博客
11-30 804
public static string ClearXSS(string str) { string returnValue = str; if (string.IsNullOrEmpty(returnValue)) { return string.Empty; } ///过滤C...
pikachu之XSS分类、场景(钓鱼、盲打、过滤
m0_59856804的博客
12-20 1270
Xss pikachu 保存型xss 反射型、DOM型 xss钓鱼 Xss盲打 XSS过滤 XSS之htmlspecialchars Htmlspecialchars()函数 XSS之href输出 防范措施: 21
第十三节 利用CSS特性绕过XSS过滤-01
09-15
Payload的构造需要考虑到目标网站的XSS过滤机制,攻击者需要使用不同的Payload来绕过过滤机制。 利用CSS特性绕过XSS过滤是一种复杂的攻击方式,攻击者需要具备深入的CSS和JavaScript知识,同时也需要具备XSS漏洞...
JSP使用过滤器防止Xss漏洞
10-17
`XssHttpServletRequestWrapper`覆盖了`getParameter()`和`getHeader()`方法,对所有参数名和参数值进行XSS过滤。在`XssHttpServletRequestWrapper`中,我们调用`xssEncode()`方法对参数进行编码,确保潜在的危险...
记录几种XSS绕过方式1
08-03
当网站的过滤机制将某些特定字符如"onerror"或"script"替换为空时,攻击者可以利用特殊字符如“"”或' ',它们会被替换为空,从而构造如`”ror=alert(1)>`的payload来绕过过滤。 2. 大小写绕过: 如果过滤规则未...
XSSBypass:XSS绕过技术
05-17
2. **XSS过滤器绕过** - Web应用程序通常会使用过滤器来防止XSS攻击,但这些过滤器可能有漏洞或不够完善。攻击者可以通过编码、字符集转换、使用特殊字符、或者利用过滤器的逻辑漏洞来绕过防御。 - 例如,使用...
java防XSS攻击的 关键词过滤实现
weixin_43791937的博客
05-15 1386
继承HttpServletRequestWrapper,实现对请求参数的过滤 /** * xss请求适配器 */ public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); } /** * 对
xss绕过字符过滤_xss绕过过滤方法
weixin_39654848的博客
12-21 906
很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦<>被转换掉,什么就会转换成“<script src=1.js></script>”,不能执行,因此,很多人认为只要用户的输入没有构成<&...
XSS SQL攻击过滤
不会代码的小林
08-15 381
public function SafeFilter ($data){ $xss=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsoun
XSS绕过经验总结
weixin_46622976的博客
10-20 2083
XSS经验总结
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 1676
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
ModSecurity的规则
浅笑996的博客
10-26 5283
一、ModSecurity的规则 基本格式 SecRule VARIABLES OPERATOR ACTIONS SecRule:ModSecurity主要的指令,用于创建安全规则。 VARIABLES :代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。 OPERATOR:代表操作符,一般用来定义安全规则的匹配条件...
XSS篇——XSS过滤绕过技巧
weixin_50464560的博客
05-07 3501
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
安全攻防之XSS
程序员阿飘 的博客
03-04 868
在万物互联的时代,数据安全与个人隐私受到前所未有的挑战,各种攻防策略层出不穷,深入了解攻防底层的原理刻不容缓。本文旨在将日常开发上遇见的问题作总结,通过不断补全安全攻防方面的知识,形成对安全攻防体系有良好的运用。
xss 空格过滤绕过
07-27
3. 绕过过滤器规则:攻击者可以尝试绕过已实施的过滤器规则。这可能需要对输入进行深入了解,并找到规则中的漏洞或限制。 重要的是要意识到,绕过空格过滤只是XSS攻击的一种方式,还有其他许多方法可以进行XSS攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值