[小迪安全28天]xss绕过

最新推荐文章于 2023-12-12 14:21:36 发布
最新推荐文章于 2023-12-12 14:21:36 发布
阅读量397 收藏 2
点赞数
分类专栏: 小迪安全笔记 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54252904/article/details/117405730
版权

xss绕过

删减操作

在这里插入图片描述
进行一些删减
在这里插入图片描述

在这里插入图片描述
删减不能访问
在这里插入图片描述
使用单引号
在这里插入图片描述
继续填充垃圾数据
在这里插入图片描述
添加斜杆和垃圾数据没有绕过
在这里插入图片描述
但在后面添加#号成功绕过,目的是防止继续匹配,注释作用
在这里插入图片描述

\号和垃圾数据

\号在javascript中相当于结束标志,目的是让安全狗不匹配后面的数据
垃圾数据是干扰作用

在这里插入图片描述

更换提交方式

在这里插入图片描述
post提交绕过
在这里插入图片描述

使用网站识别的加密方式绕过

在这里插入图片描述

xssfuzz

http://xssfuzzer.com/fuzzer.html生成fuzz代码

在这里插入图片描述

fuzz字典

网上有字典
通过自己写脚本或者Burpsuite来进行字典发包

在这里插入图片描述
通过设置线程和攻击位置来进行测试
如果哪里需要特殊闭合,可以自己手动添加在进行测试

xsstrike工具

https://github.com/s0md3v/XSStrike
工具参数

在这里插入图片描述
使用
在这里插入图片描述
在这里插入图片描述

道长在此
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第04篇:XSS三重URL编码绕过实例1
08-03
0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:如图,可以看到,双引号被转义了,这时候是不是有种想放弃的想法,抱着尝试的状
XSS绕过安全狗WAF
永远是少年
11-25 2940
继续给大家介绍渗透测试相关知识,本文主要内容是XSS绕过安全狗WAF。 一、测试环境搭建 二、XSS绕过安全狗WAF
XSS绕过总结
qq_42990434的博客
05-29 8946
有时候明明有一个xss漏洞,但是却有xss过滤规则或者WAF保护导致我们不能成功的利用,这些会屏蔽掉我们的代码,会导致我们执行完代码之后什么反应都没有,这时候我们可以审查一下元素,看看我们的代码有没有替换为空,或者替换成其他东西,或者那些符号被过滤掉了。 比如:我们输入<script> alert(“hi”) </scrip>, 会被转换成<script> alert(>xss detected<) </scrip>,这样的话我们的js语句就不生效
xss漏洞实战--放射性xss漏洞总结
weixin_42109829的博客
12-12 1289
1. 查找反射型的xss型的漏洞。 放射性xss漏洞一般存在于搜索框哪里,,原理我就不讲了,直接实战啦 ** 1.1 用偏僻字符绕waf 我们在找xss漏洞的时候常常会遇到一些waf防护就比如 例: 100招商网 我们输入最常见的poalay <script>alert(123)</script> 出现D盾防护。 这时候就出现了 我们应该知道他u盾是防护了什么,什么...
xss绕过方法(前端绕过,拼凑绕过,注释干扰绕过,编码绕过
qq_43814486的博客
05-05 8258
绕过思路 前端绕过:前端有很多种方法绕过,比如抓包重放或者修改前端代码。 大小写绕过:一般后台对输入写进行过滤使用两种方法:1,使用正则匹配,2,用查找的函数查找。这两种方法可以用大小写混合的方式进行绕过,而后端是不管大小写的,可以正常执行我们的语句。 拼凑:后端会对我们输入的标签进行替换,但只替换一次,所以可以这样: <scri<script>pt>alert("hell...
XSSBypass:XSS绕过技术
05-17
XSS绕过技术是安全研究人员和黑客为了测试或利用这些漏洞而发展出的一系列策略。 1. **理解XSS类型** - 存储型XSS:攻击者的脚本被存储在服务器上,然后在多个用户访问同一页面时触发。 - 反射型XSS:脚本通过URL...
XSS绕过技术
10-11
Cross-Site Scripting(XSS绕过技术,来自论坛:法克论坛,作者:bystand
28:WEB漏洞-XSS跨站之WAF绕过安全修复1
08-03
WEB 漏洞-XSS 跨站之 WAF 绕过安全修复#常规 WAF 绕过思路标签语法替换特殊符号干扰提交方式更改垃圾数据溢出加密解密算法结合其他漏洞绕过#自动化
记录几种XSS绕过方式1
08-03
本文主要记录了几种XSS绕过的方法,帮助开发者理解攻击者可能使用的技巧,提高网站的安全性。 1. 服务端全局替换为空的特性: 当网站的过滤机制将某些特定字符如"onerror"或"script"替换为空时,攻击者可以利用...
Web安全XSS攻击与防御小结
02-23
跨站脚本攻击(CrossSiteScripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起...
[ 常见漏洞篇 ]常见web漏洞总结------XSS绕过方式
qq_51577576的博客
12-06 3738
本文具体写到了常见的XSS绕过方式,间的的介绍了一下修复方式 写的比较细,比较深,需要一定的基础才能看懂,仔细读完 不懂的可以百度查一查或者私信我,相信会有很大收获 目录 一、Xss绕过方式: 1. 前端过滤 2.双写绕过 3. 事件绕过 4. 大小写绕过 5. 注释干扰绕过 6.伪协议绕过 7.空格回车Tab绕过 8. 编码绕过 1. base64编码: 2. JS编码: 3. 十六进制: 4. unicode: 5. HTML实体编码: 6. URL...
关于对XSS原理分析与绕过总结
stopys6的博客
10-08 2415
如果服务器与客户端之间要传输某个特殊字符,像是<>,'等这类会被当做标签或者属性值等来解析的字符,为了避免歧义就需要使用到HTML实体化编码来进行编码了。Q2、HTML编码的几种方式别名形式:因为比较多可以见HTML 字符实体 (w3school.com.cn)十六进制:像就会被编码为<div>十进制:上述标签在十进制会被编码为<div>Q3、为什么需要JavaScript解码?通过JavaScript编码,可以对特殊字符进行转义,防止数据在传输过程中产生语法错误或安全漏洞。
浅谈XSS攻击的那些事(附常用绕过姿势)
qq_42801460的博客
03-29 1381
有的时候,服务器往往会对代码中的关键字(如alert)进行过滤,这个时候我们可以尝试将关键字进行编码后再插入,不过直接显示编码是不能被浏览器执行的,我们可以用另一个语句eval()来实现。由于盗取的cookie需要传回给攻击者,因此往往需要一个服务器来接收盗取的cookie,这也就是xss平台的作用了。也就是攻击相对于访问者而言是一次性的,具体表现在我们把我们的恶意脚本通过url的方式传递给了服务器,而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本。
XSS绕过技巧
weixin_52501704的博客
02-10 4051
XSS绕过技巧
3-10xss绕过思路讲解和案例演示
山兔的博客
04-28 610
XSS绕过-过滤-转换 因为在我们的实际测试过程中,有很多安全系统或多或少,会去做一些安全措施,但是,这些措施,有可能会因为程序员逻辑不够严谨,或者他使用的方法是错的,保证了他的措施起到了一部分作用,但是还是可以被绕过的 0,前端限制绕过,直接抓包重放,或者修改html前端代码 我们的安全措施不要在前端去做,比如输入字符长度限制,这样也引申出一个思想,我们所有的安全措施,永远不要放在前端去做,前端会通过js,会通过属性,起到安全的辅助措施,但是本质上是没有作用的 1.大小写,比如:<SCRIPT&g
(27)【xss绕过】一般测试步骤、绕过方法:触发事件、干扰、编码……
04-03 6128
XSS绕过-合集】
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
最新发布
白帽子佳奇的博客
12-12 4414
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
web漏洞“小迪安全课堂笔记”XSS
weixin_42902126的博客
03-25 1467
小迪安全课堂笔记——XSS跨站脚本攻击思维导图XSS跨站漏洞产生原理,危害,特点?XSS跨站漏洞分类:反射(非持续型),存储(持续型),DOM反射型存储型DOM型XSS 常规攻击手法平台工具cookie sessioncookie盗取成功条件session获取XSS适用环境绕过httponlyWAF拦截 思维导图 XSS跨站漏洞产生原理,危害,特点? XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、、等各种方式使得用户浏览这个页面时,触发对被攻击站点的http 请求。此时,如果被攻击
waf绕过之文件上传绕过xss绕过以及查杀工具
weixin_46248422的博客
07-26 842
一、文件上传绕过: 方法一:等号绕过:在filename后面夹两个== 方法二:换行绕过:在文件后缀名处换行 方法三:填充垃圾字符 方法四五试过没有成功: 方法四:突破0,文件名前缀加[0x09]绕过 方法五:文件名去掉双引号绕过 二、XSS绕过WAF 1、大小写绕过 2、javascript伪协议 3、没有分号 4、Flash 5、HTML5 新标签 audio div等标签都可以绕过waf 6、Fuzz进行测试 7、双层标签绕过 CC防护对应有...
XSS绕过方式有哪些
10-27
以下是一些XSS绕过方式: 1. HTML编码绕过:攻击者可以使用HTML编码来绕过过滤器,例如使用<代替<,使用>代替>等。 2. JavaScript编码绕过:攻击者可以使用JavaScript编码来绕过过滤器,例如使用%3C代替<,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值