xss绕过字符过滤_XSS绕过实战练习

最新推荐文章于 2024-09-15 13:46:58 发布
最新推荐文章于 2024-09-15 13:46:58 发布
阅读量785 收藏 3
点赞数
文章标签: xss绕过字符过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39640203/article/details/111791821
版权
本文详细记录了一次网络安全实验课中的XSS挑战过程,从level1到level20,涉及各种字符过滤、编码绕过、事件利用等实战技巧,包括实体编码、大小写绕过、注释符和伪协议利用等方法。
摘要由CSDN通过智能技术生成

前言

写这篇博文起源来自于一次网络安全实验课,在实验虚拟环境里有一个xss挑战,估计是搬别人的xss挑战进来,我觉得挺有意思,就记录一下。有些关卡不能再虚拟环境实践,我在自己物理机上找到那个xss挑战平台进行实现。

level1

未进行过滤,直接输入payload

payload:

level2

发现对html特殊符号进行了实体编码,

beepress-image-107727-1560823729.jpg

payload:" οnclick=alert(/xss/)><"

当然需要点击一下触发

beepress-image-107727-15608237291.jpg

level3

编码了双引号,但是源码里用的单引号,用单引号构造即可

payload:'οnclick=alert(/xss/)><'

beepress-image-107727-1560823730.jpg

level4

过滤了<>符号,我们只能用事件绕过,这里利用浏览器的容错特性,不闭合直接注释也能执行

payload:" οnclick=alert(/xss/)//

beepress-image-107727-1560823731.jpg

level5

有两处输出的地方,第一处对特殊符号进行了实体编码,第二处将on开头的事件全部替换加下斜杠,也将

最低0.47元/天 解锁文章
weixin_39640203
关注
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1659
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
xss绕过字符过滤_xss绕过过滤方法
weixin_39654848的博客
12-21 979
很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦<>被转换掉,什么就会转换成“<script src=1.js></script>”,不能执行,因此,很多人认为只要用户的输入没有构成<&...
xss-labs靶场:level6攻略 大小写混淆绕过
最新发布
godfish44的博客
09-15 322
再说一下,关于闭合标签的事情,要多用引号去尝试,很少一次就能成功的,有些情况下引号被闭合时在前端代码中会消失,这是正常现象,一切以开发者工具中显示的前端代码为准,加油!当我们的payload被过滤时,我们可以尝试对其进行编码,这也是很常见的一种方法,常见的编码有html编码,url编码,在线编码的工具有很多,可以自行查找。代码中,我们将原本小写的href替换为了hreF,以此来绕过检测,当然,任意字母大小写都是可以的。恭喜大家闯过了前面的五关,第六关没有什么特殊的地方,就考察了一个大小写混淆的绕过方法。
xss绕过字符过滤_绕过XSS过滤规则
weixin_39576751的博客
12-21 447
相信大家在做***测试的时候都有过这样的经历,明明一个XSS的漏洞,但是却有XSS过滤规则或者WAF保护导致我们不能成功利用,比如我们输入alert("hi"),会被转换为alert(>xssdetected...
xss攻击突破转义_WEB安全之XSS攻击方式与防御方式
weixin_39520393的博客
11-21 898
上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式与防御方式,一起去了解一下~XSS 常见攻击方法1、绕过 XSS-Filter,利用 <> 标签注入 Html/JavaScript 代码;2、利用 HTML 标签的属性值进行 XSS 攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的 Web...
xss绕过字符过滤_技术研究 | 绕过WAF的常见Web漏洞利用分析
weixin_42364539的博客
12-19 296
前言本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法,希望能起到抛砖引玉的效果。如果师傅们有更好的方法,烦请不吝赐教。PS:本文仅用于技术研究与讨论,严禁用于任何非法用途,违者后果自负,作者与平台不承担任何责任测试环境PHPStudy(PHP5.4.45+Apache+MySQL5.5.53)+最新版安全狗(4.0.28330)靶场使用DVWA:ht...
xss平台搭建源码,xss漏洞练习
06-03
</script>`,了解JavaScript的禁用策略以及如何绕过浏览器的安全机制。 3. 了解XSS过滤和防御机制,如输入验证、输出编码、HTTP头部的Content-Security-Policy等。 4. 实践利用XSS漏洞进行攻击,如钓鱼、会话劫持、...
XSS20关练习源码
09-04
7. **JavaScript安全**:`chk.js`文件可能包含了对用户输入的JavaScript验证,但需要注意的是,仅依赖客户端验证是不够的,因为攻击者可以绕过这些检查。 8. **图像注入**:`level8.jpg`可能隐藏了XSS payload,...
XSS跨站脚本攻击漏洞之2DVWA中的利用和绕过
ISNS的博客
03-07 893
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ DVWA是一款非常好的web漏洞练习平台,也是一款非常好的学习php代码审计的一个平台。我们可以利用它来学习XSS漏洞。 安装环境 平台搭建好以后,登录账号:admin,密码:password。 设置安全级别 一共有四个级别:Low、Medium、High、impossible。 我们依次测试每个...
XSS漏洞讲解与多篇实战讲解
浪子燕青的博客
02-25 3511
跨站脚本攻击 XSS攻击基础 概述 个人对XSS攻击的原理认知: 原理:对可以控制传参的位置,比如url链接中,输入框中,首先闭合输出参数位置前后网页标签,在闭合的中间加上JavaScript代码或者其他的html标签,使得网页能够执行你添加的参数功能。 危害:凡是js能做的,大部分xss漏洞都能利用,常见的比如获取当前cookie,获取浏览器保存的账号密码 、获取屏幕截图,获取页面的数据,改变页面的逻辑,向服务器发送数据请求等。 情景:在挖洞的情景下,只要保证能弹个窗,或者执行js代码即可。但是
base64编码_动画演示 Base 64 编码
weixin_39519741的博客
11-28 251
Base64 是一种十分流行的编码方式,仅仅使用 64 个字符加等号(=) 就可以以文本的形式表示所有的二进制数据了,因为它能够把二进制格式通过编码转换成可见字符,所有我们就可以通过的把二进制格式比如图片,文件等通过 base64 编码然后通过文本的形式共享出去,是不是很神奇呀。编码流程把输入的数据转换成 二进制的形式每 3 个 8bit 为一组拆分为 4 个 6bit 8*3=6*4=24拆分后...
Xss字符编码突破过滤方法总结
02-11
详细介绍了主流的9种Xss字符编码突破过滤方法,纯手工,欢迎交流学习。
xss绕过字符过滤_XSS 过滤绕过指南
weixin_39861734的博客
12-21 383
XSS 过滤绕过指南黑盒视角下如何反向推理 XSS 过滤器后端的正则表达式绕过 xss 检测机制 (翻译)https://www.cnblogs.com/xsserhaha/p/10743671.html?from=timeline原文https://github.com/s0md3v/MyPapers/tree/master/Bypassing-XSS-detection-mechanisms...
XSS过滤速查表
Fizz`s Blog
11-12 3207
初见于Freebuf,放在这里收藏一下。 就是OWASP的速查表 不过是中文的 1.介绍 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss.html。目前这个网页已经重定向到OWASP网站,将由OWASP维护和完善它。OWASP
xss过滤特殊字符
BusyMonkey
06-19 6074
xss过滤特殊字符
XSS过滤绕过技巧
Javachichi的博客
03-23 694
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。
XSS下的绕过过滤方法
ECSHOP专属建设
04-09 695
很久没有写过文章了,今天写一篇小品文,仍然是关于XSS下的利用。 很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对,经过转换以后被转换掉,什么就会转换成“src=1.js>”,不能执行,因此,很多人认为只要用户的输入没有构成 但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS。 1. 转义字符 首先要认识一下“\”,这个不是斜杠么。对
XSS过滤
bylfsj的博客
09-26 562
XSS Bypass: 脚本标签: <object data=”data:text/html,<script>alert(1)</script>”> <object data=” data:text/html;base64,Jmx0O3NjcmlwdCZndDthbGVydCgxKSZsdDsvc2NyaXB0Jmd0Ow==”> <a h...
XSS攻击绕过过滤方法大全(转)
热门推荐
mingyqf的博客
04-20 2万+
XSS攻击绕过过滤方法大全(约100种) 虽然说很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS注入。 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录,现在此XSS备忘录将由OWASP维护和完善它。 OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Cheat She
CSS特性与XSS过滤绕过实战解析
"本资源主要介绍了如何利用CSS特性来绕过XSS过滤的策略,包括XSS漏洞的发现、基本的XSS利用方法以及通过CSS特性构造有效载荷以触发XSS攻击。" 在Web安全领域,XSS(跨站脚本攻击)是一种常见的攻击手段,攻击者通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值