XSS绕过

最新推荐文章于 2023-08-25 10:51:48 发布
最新推荐文章于 2023-08-25 10:51:48 发布
阅读量511 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42393944/article/details/107914976
版权
本文详细介绍了XSS跨站脚本攻击的绕过方法,包括大小写混合、前端代码修改、拼凑、注释干扰等手段。同时,探讨了编码在XSS防御中的作用,如URL编码、HTML实体编码,并提到了htmlspecialchars()函数的不同类型。文章还讨论了如何防御XSS,特别是在a标签href属性和JavaScript中的应用,以及一种特殊的XSS语句。
摘要由CSDN通过智能技术生成

一.过滤

   1.通过大小写混合的方式(有些后台只过滤小写)=> <ScRipt>alert(1111)</ScriPt>

    2.修改前端代码(安全措施不可用前端,形同虚设)==>譬如最简单的长度限制,只要修改length就可

    3.拼凑  ==> <scri<script>pt>alert(1111)</scr</script>ipt> ===>后台只会过滤一次,所以外面分散的可以拼凑而成

    4.使用注释干扰 ===> <scr<?--test-->ipt>alert(111)</scri<?--test-->pt>

二.编码

   (1) 后台会过滤一些特殊的字符,譬如script标签,但是可以通过各种编码可能不会被过滤,当浏览器对其识别时会正常翻译

             注意:有些属性是不会解析某种编码的

           例:<img src = x onerror = "alert%28%27xss%27%29"/>   ===>这种是url编码,能够绕过后台,但onerror属性不会解析此编码,若将其换成html编码,   则          可以解析

    (2)htmlspecialchars()函数:把预定义的字符转换成HTML实体

             &(和)—>&amp

             "(双引

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xssbypass_【渗透技巧】XSS三重URL编码绕过实例
weixin_30126409的博客
12-23 3968
0x00 前言跨站脚本攻击(Cross Site Scripting),缩写为XSS,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在黑盒渗透中,XSS在很多网站中普遍存在,这边分享一个简单有意思的XSS三重URL编码绕过漏洞实例。0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双...
xss怎么绕过html编码,看我如何绕过WAF的XSS检测机制
weixin_35665984的博客
07-01 681
概述本文提出了一种绕过XSS安全机制的新型方法,这种技术由三个阶段组成:确定Payload结构、探测和混淆处理。首先,我们需要针对给定的上下文环境,确定各种不同的Payload结构以达到最优的测试效果。接下来就是探测,这里涉及到根据目标所实现的安全机制来进行各种字符串测试,并分析目标的响应数据以便基于分析结果来做出安全假设。最后,根据分析结果来判断是否要对Payload进行混淆处理或结构调整。致读...
绕过html编码,编码绕过问题
weixin_28973855的博客
06-20 593
在bwapp上尝试xss注入时,在level3层次上,后台用了htmlspecialchars函数编码转义,没有办法绕过。网上搜索后,给出的结论是,函数对&,',",进行了转义,其本身没法绕过,但是视它所处的环境来定。比方说,hellodocument.getElementById("1").innerHTML = x;注意这个x变量,它首先是在script环境下,然后通过改变dom结构,...
xss过滤器转义和反转
那些年我们踩过的坑
01-10 7856
 apache工具包common-lang: StringEscapeUtils.escapeHtml("&lt;font&gt;测试&lt;/font&gt;") StringEscapeUtils.unescapeHtml("&amp;gt;font&amp;lt;测试&amp;gt;font&amp;lt;")                 ...
xss跨站攻击html转义,跨站脚本攻击 XSS攻击基础
weixin_39904522的博客
06-21 685
变态和变态相遇,有一半的可能会情投意合,一般的可能会彼此恶心。这个变态把我恶心坏了。概述个人对XSS攻击的原理认知:原理:对可以控制传参的位置,比如url链接中,输入框中,首先闭合输出参数位置前后网页标签,在闭合的中间加上JavaScript代码或者其他的html标签,使得网页能够执行你添加的参数功能。危害:凡是js能做的,大部分xss漏洞都能利用,常见的比如获取当前cookie,获取浏览器保存的...
XSS绕过技术
10-11
但是,即使测试代码未执行,也不能立即断定网站是安全的,因为攻击者可能采用不同的技术绕过过滤器。 为了绕过网站的安全过滤,攻击者可能会采用多种技术。首先,他们需要检查页面源代码,看看注入的测试字符串是否...
XSSBypass:XSS绕过技术
05-17
**XSS(跨站脚本攻击)Bypass:探索XSS绕过技术** XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本,进而执行非授权的操作。当Web应用程序未能充分地验证和转义...
记录几种XSS绕过方式1
08-03
本文主要记录了几种XSS绕过的方法,帮助开发者理解攻击者可能使用的技巧,提高网站的安全性。 1. 服务端全局替换为空的特性: 当网站的过滤机制将某些特定字符如"onerror"或"script"替换为空时,攻击者可以利用...
使用无括号的XSS绕过CSP策略研究 .pdf
09-05
标题中的“使用无括号的XSS绕过CSP策略研究”是指在网络安全领域中,攻击者尝试利用一种特殊类型的跨站脚本(XSS)攻击来规避内容安全策略(Content Security Policy,简称CSP)的防御机制。CSP是一种有效的防止XSS...
第十二节 XSS 过滤器绕过-01
09-15
XSS 过滤器绕过技术详解 XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的 Web 应用程序安全漏洞,攻击者可以通过插入恶意脚本来盗取用户信息、破坏网站操作等。为防止 XSS 攻击,开发者通常会使用 XSS 过滤...
32个触发事件XSS语句的总结
04-01
32个触发事件XSS语句的总结,新人学习xss必看!
xss绕过html实体化,通过脚本片段绕过XSS防御
weixin_42386511的博客
06-07 1669
原标题:通过脚本片段绕过XSS防御 从恶作剧弹框到盲打后台乃至沦陷一个企业,XSS的危害可大可小,近年来,XSS攻击与防御的博弈持续不断,下面是今年5月份北爱尔兰首府举行的OWASP AppSec EU的安全议题:通过脚本片段绕过XSS防御。一、XSS 防御措施尽管业界付出了很多努力,XSS依然是一个广泛且未解决的问题。有数据指出:谷歌VRP中70%的漏洞是XSS漏洞。XSS防御技术的通用假设为:...
XSS盲打,绕过htmlspecialchar以及href js输出点
weixin_43858799的博客
05-05 489
XSS盲打,绕过htmlspecialchar以及href js输出点 一,盲打 我们先打开pikachu界面 我们随便输入一个字符 我们可以得到 我们输入的结果不会被输出到前端 而是被输入进后端了 管理员可看 我们使用 <1script>alert(“lalala”)<1/script> 接下来我们登录一下管理员 进入后台看一下 登陆后我们就被XSS 这就是盲...
绕过html编码,浏览器的自解码机制(用于XSS编码绕过
weixin_35280108的博客
06-20 704
1.浏览器大致的工作流程(1)浏览器解析HTML(2)标签转化为DOM节点,识别标签时,HTML解析器无法识别被实体编码的内容,在建立起DOM树,才能对每个节点的内容进行识别(3)JS DOM API(JS解析器)参与,对DOM树进行修改,改变其内容。此时CSS解析器解析外部CSS及style标签,一起构成rendering tree==(4)这里CSS在构造rendering tree之前,会有...
java过滤xss_Java对类进行XSS过滤
weixin_31869917的博客
02-12 605
Jackson对返回数据进行XSS过滤定义一个类继承ObjectMapperpackage demo;import com.fasterxml.jackson.core.JsonGenerator;import com.fasterxml.jackson.core.JsonProcessingException;import com.fasterxml.jackson.core.Version;i...
java 去除html中img_JAVA去除HTML标签
weixin_39963853的博客
02-13 558
public static String delHTMLTag(String htmlStr){String regEx_script="]*?>[\\s\\S]*?"; //定义script的正则表达式String regEx_style="]*?>[\\s\\S]*?"; //定义style的正则表达式String regEx_html="]+>"; //定义HTML标签的正则表达式Patte...
【前端开发必知】HTML特殊字符转义及编码
等风来
08-25 9768
HTML 中,有一些特殊字符不可直接使用,需要使用转义字符或实体编码来表示。这是为了避免这些字符与 HTML 标签和语法产生冲突。同时,也是为了防范前端XSS。 例如,有些特殊字符(如 < 和 >)作为HTML标签的一部分,要是没有被特殊处理可能被恶意XSSHTML的特殊字符转义及编码在防范跨站脚本攻击(Cross-Site Scripting, XSS)方面起到关键作用。XSS是一种常见的安全漏洞,攻击者通过在受信任网站上插入恶意脚本,使其在用户浏览器中执行。
xss攻击字符过滤器 Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 1009
在JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
45. XSS篇——XSS过滤绕过技巧
热门推荐
Fly_鹏程万里
03-20 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
XSS绕过方式有哪些
最新发布
10-27
XSS(跨站脚本攻击)是一种常见的Web攻击方式,攻击者通过注入恶意脚本来窃取用户信息或者执行其他恶意操作。以下是一些XSS绕过方式: 1. HTML编码绕过:攻击者可以使用HTML编码绕过过滤器,例如使用<代替<,使用>代替>等。 2. JavaScript编码绕过:攻击者可以使用JavaScript编码绕过过滤器,例如使用%3C代替<,使用%3E代替>等。 3. 事件属性绕过:攻击者可以使用事件属性来绕过过滤器,例如使用onload、onerror等事件属性来执行恶意脚本。 4. 标签闭合绕过:攻击者可以使用标签闭合来绕过过滤器,例如使用<img src="x" onerror="alert('xss')" />来执行恶意脚本。 5. DOM操作绕过:攻击者可以使用DOM操作来绕过过滤器,例如使用document.write()来插入恶意脚本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值