xss绕过之修改content-type

最新推荐文章于 2024-06-25 10:08:51 发布
最新推荐文章于 2024-06-25 10:08:51 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: Web渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39997829/article/details/90169685
版权

最近在做某个项目的测试的时候发现,很多填写信息的地方都存在相同的问题,将其content-type格式的application/x-www-form-urlencoded改为multipart/form-data即可绕过xss的防护

application/x-www-form-urlencoded:

 <form encType=””>中默认的encType,form表单数据被编码为key/value格式发送到服务器(表单默认的提交数据的格式)

multipart/form-data:  需要在表单中进行文件上传时,就需要使用该格式

 

收获小tip:

如果测试发现这类通过表单填写某些个人信息的时候,可以尝试修改content-type格式从而进行xss的绕过(本质上修改之后是当成文件进行解析了,从而触发了xss) 

 

安全大哥
关注
专栏目录
【网络安全】XSS绕过HttpOnly实现帐户接管
等风来
05-29 912
fetch 方法是JavaScript中用于发起网络请求的现代 API,实现从网络中获取资源(如文本、JSON、Blob 等)。url 是要发送请求的 URL,而 options 则是一个包含各种配置选项的对象,例如请求方法、请求头、身份验证信息等。fetch 方法返回一个 Promise,该 Promise 在收到响应后会解析为 Response 对象。通过对 Response 对象执行方法和访问属性,可以获取响应的状态、头信息和内容。
xss绕过html实体化,通过脚本片段绕过XSS防御
weixin_42386511的博客
06-07 1713
原标题:通过脚本片段绕过XSS防御 从恶作剧弹框到盲打后台乃至沦陷一个企业,XSS的危害可大可小,近年来,XSS攻击与防御的博弈持续不断,下面是今年5月份北爱尔兰首府举行的OWASP AppSec EU的安全议题:通过脚本片段绕过XSS防御。一、XSS 防御措施尽管业界付出了很多努力,XSS依然是一个广泛且未解决的问题。有数据指出:谷歌VRP中70%的漏洞是XSS漏洞。XSS防御技术的通用假设为:...
绕过content-type检测文件类型上传webshell
→_→
08-22 3484
声明:以下内容均来自“实验吧”免费公益渗透平台,该平台至今仍旧在维护,估计~~,为此把以前保留的笔记拿来分享下。 [实验目的] 1) 理解绕过Content-Type检测文件类型上传的原理 2) 学习绕过Content-Type检测文件类型上传的过程 [实验原理] 当浏览器在上传文件到服务器的时候,服务器对所上传文件的Content-Type类型进行检测,如果是白名单允许的,则可以正常上传,否则上传失败。 绕过Content-Type文件类型检测 ,就是用B...
X-Content-Type-Options和 X-XSS-Protection
thlzjfefe的博客
03-24 677
X-Content-Type-Options和 X-XSS-Protection X-Content-Type-Options 互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源的Content-Type是错的或者未...
XSS 安全漏洞介绍及修复方案
最新发布
墨鸦的博客
06-25 7625
XSS 安全漏洞介绍及修复方案
image xss 2.各浏览器的content_type与图片实际类型、后缀名的关系
microad_liy的专栏
08-31 1061
各浏览器的content_type与图片实际类型、后缀名的关系表 查看content_type(浏览器header信息)工具: IE :  ieHTTPHeaders FireFox :  Live HTTP headers插件 chrome
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 6478
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
Content-Type对get请求和post请求的影响
热门推荐
清风的博客
07-26 1万+
一. GET 请求 GET 请求不存在请求实体部分,键值对参数放置在 URL 尾部,浏览器把form数据转换成一个字串(name1=value1&amp;name2=value2...),然后把这个字串追加到url后面,用?分割,加载这个新的url。因此请求头不需要设置 Content-Type 字段 非 ASCII 码会自动进行编码转换,例如发送请求:www.bilibili.com?heh...
【WEB漏洞】第四章 XSS(二)
人间体佐菲的博客
09-14 487
XSS漏洞原理以及同源策略
content-type-research:内容类型研究
03-19
WAF绕过 基本思想 HTTP请求 应用 WAF 结果 内容类型:application / x-www-form-urlencoded q ='union select'1 '联合选择1' '联合选择1' :minus:受阻 内容类型:application / json {“ q”:“'\ u0075nion \ ...
XSS现代WAF规则探测及绕过技术
Coisini的博客
06-13 623
初始测试 1、使用无害的payload,类似,,观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等; 2、如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应; 3、尝试以下的payload <script>alert(1);</script> <script>promp...
XSS绕过技术学习总结
1匹黑马
02-23 2777
文章目录XSS分类发现XSS漏洞转义字符串绕过单引号过滤绕过< SCRIPT>过滤绕过使用IMG源绕过使用制表符、 换行符和回车符绕过使用空字符进行绕过双引号配对绕过CSS过滤器绕过不全面的过滤器 XSS分类 非持久型 非持久性:非持久性 XSS 也被称为反射性 XSS,是目前最普遍的类型,当攻击者提供了一些代码的时候,服务器端马上就会返回页面的执行结果。举个例子,就比如某个网页上...
配置请求头Content-Type
m0_63263973的博客
12-04 8523
Content-Type有三种类型 我们可以这样配置请求头 或者是写到post的js文件axios.js 对于不同的请求头,后端接口要用不同的注解吸收数据,否则会报404:指定传输数据为二进制类型,比如图片、mp3、文件。:纯文体的传输。空格转换为 “+” 加号,但不对特殊字符编码。@RequestParam1.均支持POST,GET请求 2.只支持Content-Type: 为 application/x-www-form-urlencoded编码的内容。Http协议中,如果不指定Conten
JAVA-添加HTTP响应头预防XXS攻击
有点儿文绉绉的小赖的博客
03-22 2342
http响应头缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预防
详解Xss 及SpringBoot 防范Xss攻击(附全部代码)
xxxzzzqqq_的博客
03-23 5674
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
Java代码审计之XSS攻击
tpaer的博客
12-07 1621
以代码实例复现Java中的XSS攻击,并给出修复建议。
怎么修改服务器上文件格式,如何上传文件及content-type的设置
weixin_28878185的博客
07-31 5062
前言在使用 fetch / axios 时常常会涉及到文件上传,以及其他请求,其中包括一些 content-type ,被这些不同类型到 content-type 搞得头大,到底什么时候该用怎么样的类型呢,本文将会梳理这些问题。实例分析,如何上传一张图片表单提交方式表单用来收集用户提交的数据,发送到服务器。下面代码中包含:文件选择框(获取本地文件),提交按钮(提交表单控件)。复制代码用户点击“提交...
XSS攻击原理和解决方法
芦金宇的专栏
09-23 1238
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 ...
前端修复xss漏洞的一种思路---动态修改URL,获取URL参数值和动态修改URL参数值
parade岁月的博客
10-29 1941
先说一下需求: 我们负责的网站被检测出来了xss漏洞,例如用户输入 http://www.lxxx.adf.cn/question.do?id=62><img%20src=1%20onerror=alert(1)><aaa="bad 会在页面出现alert(1)弹出框,并且传到后台的参数也是非法的。 于是就想到了利用js动态修改参数后再传到后台,这样既解决了前台弹出...
tomcat8怎么解决X-XSS-Protection,X-Content-Type-Options漏洞?
12-07
根据提供的引用内容,X-XSS-Protection和X-Content-Type-Options都是用来防范XSS攻击的响应头。其中,X-XSS-Protection可以关闭或启用XSS保护,而X-Content-Type-Options可以防止浏览器将响应内容解释为MIME类型不...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值