利用CSS特性绕过XSS过滤

最新推荐文章于 2023-03-06 21:16:07 发布
最新推荐文章于 2023-03-06 21:16:07 发布
阅读量409 收藏
点赞数
分类专栏: web安全 文章标签: css js javascript jquery web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46370858/article/details/114482085
版权

利用CSS特性绕过XSS过滤

1. XSS漏洞发现
构造特殊无害字符串,响应中寻找字符串。
在这里插入图片描述

2. 基本XSS利用
1、HTML事件触发XSS
2、闭合input,利用外部标签触发XSS

3. XSS特性讲解
background:url(“javascript:alert(document.domain);”); 设置背景颜色
设置background:url ,利用javascript伪协议执行js。 目前IE浏览器支持,其他浏览器已经不再支持。

4. Payload触发XSS
Payload: background-color:#f00;background:url(“javascript:alert(document.domain);”);
在这里插入图片描述

一米八多的瑞兹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
XSSBypass:XSS绕过技术
05-17
XSS绕过 XSS绕过技术,带来乐趣和收益。 尝试使用XSS漏洞逐行绕过Web应用程序安全性XSS过滤器。
【安全】P 4-16 利用CSS特性绕过XSS过滤
Z_David_Z的博客
02-20 166
0X01 XSS漏洞发现 构造特殊无害字符串,响应中寻找字符串。 0X02 基本XSS利用 1、HTML事件触发XSS 2、闭合input,利用外部标签触发XSS 0X03 CSS特性讲解 background:url("javascript:alert(document.domain);"); 设置背景颜色 设置background:url ,利用javascript伪协议执行js。 目前IE浏览器支持,其他浏览器已经不再支持 0X04 Payload触发XSS Payload: back
XSS绕过
weixin_33924770的博客
12-03 339
大家都知道,普遍的防御XSS攻击的方法是在后台对以下字符进行转义:<、>、’、”,但是经过本人的研究发现,在一些特殊场景下,即使对以上字符进行了转义,还是可以执行XSS攻击的。 首先看一个JS的例子: 1 <script> 2     var s = "u003cu003e"; ...
xss绕过
weixin_51692662的博客
08-19 2530
xss绕过
xss靶场绕过
m0_63069714的博客
03-06 1437
首先尝试在标签中的name属性传递参数来观察,看哪个标签的有数据显示,看到的t_sort出现数据,但是仔细观察会发现,我们传递的" onclick=alert(1) type="text"参数中,双引号没有和前面的双引号发生闭合,因此我们需要找其他方式,使用火狐的hackbar插件,对t_ref属性进行传参,发现参数可以显示出来,因此再次尝试" onclick=alert(1) type="text",结果不出意料,实现弹窗。
第十三节 利用CSS特性绕过XSS过滤-01
09-15
第十三节 利用CSS特性绕过XSS过滤-01
第十二节 利用IE特性绕过XSS过滤-01
09-15
第十二节 利用IE特性绕过XSS过滤-01
自动绕过 XSS过滤器_Java_代码_相关文件_下载
07-12
绕过 XSS 过滤器 概述 snuck 是一个自动工具,其目标是通过基于反射上下文的专门注入来显着测试给定的 XSS 过滤器。这种方法采用 Selenium 来驱动 Web 浏览器来重现攻击者和受害者的行为。 更多详情、使用方法,...
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
第十四节 IE中利用CSS触发XSS-01
最新发布
09-15
第十四节 IE中利用CSS触发XSS-01
xss绕过思路
W小哥
04-13 2194
1、前端限制绕过(比如:JS),直接抓包改包重放,或者修改html前端代码 2、大小写绕过,比如:pt> 4、使用注释进行干扰:<script>alert(/xss/)</script> 后台过滤了特殊字符,比如 ...
xss绕过方式
weixin_55821558的博客
03-18 8836
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.xss的类型以及常用标签 二.xss常用绕过 总结 前言 xss(cross-site-scripting)中文:跨站脚本攻击 常年位于owasp top ten,可见他的地位。 基于javascript完成恶意攻击,javascript使用灵活 他可控制网页的行为 操作html、css、和浏览器,所以他的危害性特别大,了解并学习xss原理对于防范xss攻击意义重大。 提示:以下...
xss绕过方法(前端绕过,拼凑绕过,注释干扰绕过,编码绕过
qq_43814486的博客
05-05 7964
绕过思路 前端绕过:前端有很多种方法绕过,比如抓包重放或者修改前端代码。 大小写绕过:一般后台对输入写进行过滤使用两种方法:1,使用正则匹配,2,用查找的函数查找。这两种方法可以用大小写混合的方式进行绕过,而后端是不管大小写的,可以正常执行我们的语句。 拼凑:后端会对我们输入的标签进行替换,但只替换一次,所以可以这样: <scri<script>pt>alert("hell...
XSS绕过技巧
weixin_52501704的博客
02-10 2776
XSS绕过技巧
XSS绕过总结
qq_42990434的博客
05-29 7761
有时候明明有一个xss漏洞,但是却有xss过滤规则或者WAF保护导致我们不能成功的利用,这些会屏蔽掉我们的代码,会导致我们执行完代码之后什么反应都没有,这时候我们可以审查一下元素,看看我们的代码有没有替换为空,或者替换成其他东西,或者那些符号被过滤掉了。 比如:我们输入<script> alert(“hi”) </scrip>, 会被转换成<script> alert(>xss detected<) </scrip>,这样的话我们的js语句就不生效
xss_waf绕过
weixin_44110913的博客
08-21 1495
写在前面: ————————————————————————————————————————————————— 当你的才华 还撑不起的野心时 那你就应该静下心来学习 ————————————————————————————————————————————————— 第一次翻译长篇文档,如有疏漏还请各位大牛指正。OWASP的这篇速查表虽然时间比较久了,但还在更新,所以还是翻译出来了。翻译完发现里...
XSS的一些绕过手法
qq_30787769的博客
12-09 1552
注:XSS我没有实战研究过所以大多都是靶场用的手法和别人的一些文章,可能实战的时候效果不好 1.绕过简单的xss防护 1.如果双引号被禁用就用单引号。 2.针对黑名单过滤过滤一般不全,在过滤了img还有input或者div 3.过滤了onclik,onmouseover,可以尝试冷门的事件触发onmouseenter(注意冷门最好) 4.过滤了()可以尝试(),过滤了‘可以尝试反引号,这个是反引...
防止 XSS 攻击 解决方案
浪子专栏
08-15 9993
XSS又叫CSS英文缩写为Cross Site Script中文意思为跨站脚本攻击具体内容指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的. 解决方案 第一。过滤 过滤 标签 等字符 ,但是这样 对用户是不公平的。第二。用asii 码替换 如   ! 等   第三
【奇淫巧技】XSS绕过技巧
weixin_30578677的博客
06-07 975
XSS记录   1、首先是弹窗函数: alert(1) prompt(1) confirm(1)eval()   2、然后是字符的编码和浏览器的解析机制:     要讲编码绕过,首先我们要理解浏览器的解析过程,浏览器在解析HTML文档时无论按照什么顺序,主要有三个过程:HTML解析、JS解析和URL解析,每个解析器负责HTML文档中各自对应部分的解析工作。     首先浏览器...
xss 空格过滤绕过
07-27
3. 绕过过滤器规则:攻击者可以尝试绕过已实施的过滤器规则。这可能需要对输入进行深入了解,并找到规则中的漏洞或限制。 重要的是要意识到,绕过空格过滤只是XSS攻击的一种方式,还有其他许多方法可以进行XSS攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一米八多的瑞兹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值