xss绕过空格符号_记录几种XSS绕过方式

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量1.7k 收藏 1
点赞数
文章标签: xss绕过空格符号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42135073/article/details/112812898
版权

一.服务端全局替换为空的特性

比如某站正则 过滤了onerror 过滤了script 这些  但是“ 或者 ‘ 这这种符号会变成空可以绕过,例如代码

利用 某字符转换为空 来绕过  我下面写了个挖掘案例

二.大小写绕过

比如正则过滤了onerror script 这些 没有设置大小写

绕过 payload

三.进制代替

在json这种包里

可以用\u003c 代替

还可以用\x3c 代替  

下面写了个挖掘某src的案例四.自动闭合

比如会被检测  但是你不闭合就行了

实战日管理员难顶,但是你提交src的话 还是会收的

他过滤了on函数这些 肯定用不了 但是可以用伪协议1

六.编码绕过

这里了是过滤了 alert prompt 这些弹窗 有时候我提交 console.log(1)  但是审核会让你证明能弹窗

我们通过事件来执行弹窗  过滤了说的那些弹窗 就可以用编码

像alert  prompt这些 可以替换为    hex 编码 demical编码 unicode 编码 html实体编码

像alert 后面的()括号 可以替换为   hex 编码 demical 和html 实体 实体编码

举个例子将a 实体化

alert 可以变成 alert(1)

对了 在里面就

最低0.47元/天 解锁文章
weixin_42135073
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss编码绕过详解(更像是在介绍实体编码和JS编码的解析过程)
qq_41631096的博客
03-09 4328
xss编码绕过详解(更像是在介绍实体编码和JS编码的解析过程) 注:本文通过研究各种情况下实体编码和JS编码是否生效,进而总结了哪些情况下能够进行编码后,javascript代码依然能够正常执行。 解析顺序是这样的,URL 解析器,HTML 解析器, CSS 解析器,JS解析器 URL的解码是在后台服务检测之前的,可以理解为后台收到URL后会自动进行解码, 然后才是执行开发人员编写的对URL中的值...
XSS绕过XSS过滤速查,XSS绕过姿势
wswokao的博客
09-04 5204
1.介绍 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss.html。目前这个网页已经重定向到OWASP网站,将由OWASP维护和完善它。OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Chea...
Xss漏洞常见绕过过滤攻击场景
chaottop的博客
05-04 1763
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
复现20字符短域名绕过以及xss相关知识点
weixin_53582623的博客
08-06 1027
xss知识点
xss_waf绕过
weixin_44110913的博客
08-21 1535
写在前面: ————————————————————————————————————————————————— 当你的才华 还撑不起的野心时 那你就应该静下心来学习 ————————————————————————————————————————————————— 第一次翻译长篇文档,如有疏漏还请各位大牛指正。OWASP的这篇速查表虽然时间比较久了,但还在更新,所以还是翻译出来了。翻译完发现里...
绕过WAF的XSS语句
focus on security
02-25 2147
吐血整理转载请说明。 原文收集于OWASPXSS_Filter_Evasion_Cheat_Sheet https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet http://ha.ckers.org/xss.html 正文: XSS JavaScript injection: <SCRIPT SRC=ht...
xss相关知识点与绕过思路总结
2302_79590880的博客
04-04 683
xss的一些绕过思路总结
XSS过滤绕过速查表
weixin_50464560的博客
03-07 3746
写在前面:第一次翻译长篇文档,如有疏漏还请各位大牛指正。OWASP的这篇速查表虽然时间比较久了,但还在更新,所以还是翻译出来了。翻译完发现里面还是有一些值得借鉴的思路,用来涨知识还是可以的。由于篇幅较长,推荐各位可以收藏起来,用的时候再来查= ̄ω ̄=1.介绍这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss.html。目前这个网页已经重定向到OWASP网站,将由OWAS
XSS编码问题以及绕过
baynk的博客
11-22 1469
常用的编码 URL编码: 一个百分号和该字符的ASCII编码所对应的2位十六进制数字。 例如“/”的URL编码为%2F #:%23; . :%2e; + :%2b; < :%3c; >: %3e; !:%21; 空格:%20; &: %26; (:%28; ): %29; ”:%22; ’ :%27; HTML实体编码: 以&开头,分号结尾的。 例如“<”的编码...
select %3c %3e mysql_XSS绕过姿势
weixin_31766003的博客
01-20 405
XSS的利用方式浏览器的工作原理访问一个链接(或者刷新一个页面),首先url解码,然后是html解码,然后是JS解码,然后是DOM渲染。利用h5的autofocus自动获取焦点然后用onfocus来执行获取焦点的事件这里可以用?截断后面的引号,把引号当作参数。上面这些可以自动弹窗。click me 正常成功click...
记录几种XSS绕过方式1
08-03
本文主要记录几种XSS绕过的方法,帮助开发者理解攻击者可能使用的技巧,提高网站的安全性。 1. 服务端全局替换为空的特性: 当网站的过滤机制将某些特定字符如"onerror"或"script"替换为空时,攻击者可以利用...
XSS绕过技术
10-11
Cross-Site Scripting(XSS绕过技术,来自论坛:法克论坛,作者:bystand
XSSBypass:XSS绕过技术
05-17
**XSS(跨站脚本攻击)Bypass:探索XSS绕过技术** XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本,进而执行非授权的操作。当Web应用程序未能充分地验证和转义...
自动绕过 XSS过滤器_Java_代码_相关文件_下载
07-12
绕过 XSS 过滤器 概述 snuck 是一个自动工具,其目标是通过基于反射上下文的专门注入来显着测试给定的 XSS 过滤器。这种方法采用 Selenium 来驱动 Web 浏览器来重现攻击者和受害者的行为。 更多详情、使用方法,...
第04篇:XSS三重URL编码绕过实例1
08-03
本文主要探讨了一个XSS三重URL编码绕过的实例,揭示了在某些情况下,简单的防御措施可能不足以阻止攻击。 首先,我们要理解XSS的基本概念。XSS攻击通常发生在Web应用程序未能正确过滤或转义用户输入的情况下。当...
pillow_heif-0.17.0-pp39-pypy39_pp73-macosx_14_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
cykooz.resizer-3.0.0-cp310-cp310-macosx_11_0_arm64.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
[毕设]Delphi题库管理与试卷自动生成系统.zip
最新发布
07-27
[毕设]Delphi题库管理与试卷自动生成系统
xss 空格过滤绕过
07-27
XSS(跨站脚本攻击)是一种...重要的是要意识到,绕过空格过滤只是XSS攻击的一种方式,还有其他许多方法可以进行XSS攻击。为了保护网站免受XSS攻击,建议采取综合的安全措施,包括输入验证、输出编码、内容安全策略等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值