30、xss发生的位置

最新推荐文章于 2023-06-21 18:01:15 发布
最新推荐文章于 2023-06-21 18:01:15 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: 小课堂 文章标签: xss 存在位置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41489908/article/details/103829866
版权

30、xss发生的位置

一、GET型URL中的XSS
如果url中提交的参数值,在页面中显示,很有可能就存在xss
1、输入aaa、bbb点击go,url中显示了提交的数据

在这里插入图片描述

2、将firstname改为

在这里插入图片描述

弹出窗口

二、POST型URL中的XSS

1、输入aaa、bbb,点击go,url中没有提交数据,通过抓包可以看到post数据

在这里插入图片描述
在这里插入图片描述

2、修改post数据,将aaa修改为,重新go

在这里插入图片描述
在这里插入图片描述

三、JSON中的xss

1、输入字符,点击search,抓包,查看响应,

在这里插入图片描述
在这里插入图片描述

2、闭合语句,构造payload:11111"}]}’;alert(123);//点击search,成功闭合并弹出窗口

在这里插入图片描述
在这里插入图片描述

四、自定义http头中的xss漏洞

1、用burpsuit抓包,发送到repeater

在这里插入图片描述

2、添加http头bWAPP,发送

在这里插入图片描述

3、在响应窗口右击,选择show response in browser,复制网址到浏览器访问,

在这里插入图片描述

成功弹出

在这里插入图片描述

禁止非法,后果自负
欢迎关注公众号:web安全工具库

在这里插入图片描述

web安全工具库
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
初识xss
weixin_64183637的博客
08-02 392
初步了解xss
XSS发生位置
一米八多的瑞兹的博客
12-23 1426
1. GET型URL中的XSS 如果在URL中提交的参数值,在页面中显示。很有可能就存在XSS。 2. POST型表单中的XSS 如果在表单中提交的参数值,在页面中显示。很有可能就存在XSS。 3. JSON中的XSS JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。 JSON最常用的格式是对象的 键值对。例如下面这样:{“firstName”: “Brett”, “lastName”: “M
[总结]XSS基础
Teemos的博客
12-27 516
[总结]XSS基础 文章目录[总结]XSS基础1 XSS分类1.1 反射型XSS1.2 存储型XSS1.3 DOM型XSS2 XSS危害2.1 cookie介绍2.2 盗取用户信息2.3 篡改网页链接3 XSS存在位置3.1 探测XSS3.2 可能存在位置4 绕过简单保护机制4.1 相关编码介绍4.1.1 URL编码4.1.2 html编码4.1.3 JavaScript编码4.2 双写绕过4.3 编码绕过4.4 js伪协议绕过4.5 CSS特性绕过4.6 HTML5特性绕过4.7 其他姿势5 防范措施5
几个介绍xss漏洞的地方
u012684933的专栏
04-11 826
facebook 2010年的xss漏洞 http://blog.detectify.com/post/35208929112/how-to-exploit-an-xss 介绍xss漏洞的各种利用:
xss详解(一)
捷的博客
04-11 629
文章目录XSS详解(一)一、概述二、XSS的分类2.1反射型XSS2.2存储型XSS2.3DOM型XSS三、常见XSS攻击向量四、xss测试流程图 XSS详解(一) 一、概述 XSS(Cross Site Scripting)缩写为CSS,因易与层叠样式表CSS混淆,所以将跨站脚本攻击缩写为XSSXSS攻击(跨站脚本攻击)通常指的是通过网页开发时留下的漏洞,注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 产生的原因通常是在开发阶段没有实施过滤或净化措施、或过滤的不严格。 这些恶意网
XSS技巧拓展】————18、一个URL跳转引发的一系列“惨案”
Fly_鹏程万里
01-21 2558
前言 在知乎的题目和答案中,插入的链接都会变成https://link.zhihu.com/target=xxx的形式进行URL跳转,如下图。然而这个看似简单的功能的实现上,曾引发过一系列的问题,过程挺精彩,所以我就来做个总结,以重新体验一下这个过程。声明:以下小节中提到的问题均来自WooYun已经公开的漏洞,复现的代码也是纯属我个人YY。 0x00 没有任何过滤 案例:知乎 URL 跳...
XSS发生位置-01
最新发布
09-15
XSS 发生位置概述 XSS(Cross-Site Scripting)是一种常见的Web应用程序安全漏洞,攻击者可以通过在Web页面中插入恶意脚本,来盗取用户的敏感信息或控制用户的浏览器行为。在实际应用中,XSS 可能发生在多个位置,...
springboot整合XSS
03-20
反射型XSS发生在用户点击含有恶意脚本的链接时,恶意代码会立即执行。存储型XSS则是在用户提交的数据被存储到服务器,并在后续页面展示时执行。DOM型XSS则利用了JavaScript对DOM(Document Object Model)的动态操作...
xss_javaxss_XSS_
10-04
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过在网页中注入恶意脚本,来劫持用户会话、窃取敏感信息或执行其他恶意操作。Java作为广泛使用的服务器端编程语言,也可能会遭遇...
xss常见payload脚本
09-01
xsspayload包括各种标签的payload,类似于字典。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
XSS.rar_XSS
09-22
存储型XSS发生在服务器端,攻击者将恶意脚本提交到服务器,并存储在数据库或其他持久化存储中。当其他用户访问包含这些恶意脚本的页面时,脚本会在他们的浏览器中执行。这种类型的XSS更具危险性,因为它可以影响...
全网最详细 XSS 跨站脚本攻击,不是过来打死我!!
yy1715713348的博客
06-21 325
​。
Java面试题六(Java Web模块)
qibulemingzi的博客
09-23 135
64.JSP 和 servlet 有什么区别?   JSP 是 servlet 技术的扩展,本质上就是 servlet 的简易方式。servlet 和 JSP 最主要的不同点在于,servlet 的应用逻辑是在 Java 文件中,并且完全从表示层中的 html 里分离开来,而 JSP 的情况是 Java 和 html 可以组合成一个扩展名为 JSP 的文件。JSP 侧重于视图,servlet 主要用于控制逻辑。 65.JSP 有哪些内置对象?作用分别是什么?   JSP 有 9 大内置对象:     req
Web安全之XSS漏洞详解
hack0919的博客
04-17 1540
常见的XSS漏洞危害有:cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等
XSS(跨站脚本攻击)详解
谢公子的博客
09-08 7万+
目录 XSS的原理和分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSSXSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS的原理和分类 跨站脚本攻击XSS(Cros...
XSS三重URL编码绕过实例
04-11 1452

 遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:
 
 双引号被转义了,我们对双引号进行URL双重编码,再看一下输出:
 
 依然被转义了,我们再加一层URL编码,即三重url编码,再看一下输出:
 
 URL编码被还原为双引号,并带入到html中输入。构造Payload实现弹窗
 
 ...
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
在知乎上给评论加入跳转链接--XSS练手
juanjuanguai的专栏
01-15 6263
今天在知乎上看到一个有意思的问题和回答,原链接在此: https://www.zhihu.com/question/39019943#answer-27137376 大家在下面可以用链接作为回复内容 链接到一些其他内容里去。 然而知乎本身就有过滤,所以需要绕过过滤才可以。 自己写的不好,找了找别人写的,加以修改就可以了 <a href=
XSS跨站脚本攻击过程最简单演示
smstong的成长轨迹
02-06 8万+
实例演示XSS的攻击全过程。
xss注入讲解ppt.pptx
08-10
反射型XSS发生在用户点击一个包含恶意脚本的链接时,脚本在当前页面中执行。存储型XSS则更为严重,因为它允许攻击者的脚本被永久存储在服务器上,然后在其他用户查看相关页面时执行。DOM型XSS则是由于不安全的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值