20字节短域名绕过和xss知识点

于 2022-07-27 13:59:48 发布
阅读量430 收藏
点赞数
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63083809/article/details/126013050
版权

请注意,`ff` 字符只是**一个字符**,但当浏览器解释它时,它会扩展为 `ff` **两个字符**

- ff 扩展为 `ff`
- ℠ 扩展为 `sm`
- ㏛ 扩展为 `sr`
- st 扩展为`st`
- ㎭ 扩展为 `rad`
可以找到更多这些字符- ℡ 扩展为 `tel`

当然想找到更多的这样的字符可以这个链接中找到更多这些字符

Normalization Charts正在上传…重新上传取消https://www.unicode.org/charts/normalization/ 

 

xss知识点 :

XSS攻击
       XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based XSS漏洞,另一种是Stored XSS漏洞。理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在

最低0.47元/天 解锁文章
拔剑归落樱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
复现20字符域名绕过以及xss相关知识点
CNS2900761382的博客
08-12 1166
xss相关知识点
XSS字符域名绕过XSS相关的知识
m0_57581503的博客
07-26 1575
搭建完成之后我们就有以下的界面这将是我们进行xss存储型攻击的目标,当然也需要一个工具这边国内外都有网站,我用的国外的网站,直接注册,为了之后的方便建议把自定义xss域名设置一点,然后我们就可以进行尝试绕过了;先一步把靶机配置好环境,然后我们进到xsshunter中在里边我们能获取到,这是推荐给我们的语句,是可以直接使用的。通常情况下,程序员在编写前端的时候,都会限制我们用户输入的字符长度,所以我们要选择最的一条语句输入;这条是最的(别问我为什么域名这么长,申请不到)...
XSS知识点20字符域名绕过
qq_56970600的博客
07-26 702
XSS知识点20字符域名绕过
【无标题】xss域名绕过字符长度限制以及执行弹窗的原理
m0_52813136的博客
07-26 659
XSS域名绕过及弹窗的原理
XSS 绕过思路 bypass 之日天日地日空气
None安全团队
10-25 1064
前文 Hello,大家好,我是None Sec的C_soon5,今天给大家讲讲XSS Bypass XSS挖掘思路 1:输入点和输出点进行XSS 输入点 URL参数 表单内容 JSONP 输出点 输出在标签之间,例如:<script>输出</script> 输出在属性之中,例如:<input value="输出" name="keyword"> 输出在注释之中,例如://document.getElementById("order_s..
XSSBypass:XSS绕过技术
05-17
XSS绕过技术是安全研究人员和黑客为了测试或利用这些漏洞而发展出的一系列策略。 1. **理解XSS类型** - 存储型XSS:攻击者的脚本被存储在服务器上,然后在多个用户访问同一页面时触发。 - 反射型XSS:脚本通过URL...
XSS绕过技术
10-11
Cross-Site Scripting(XSS绕过技术,来自论坛:法克论坛,作者:bystand
第04篇:XSS三重URL编码绕过实例1
08-03
本文主要探讨了一个XSS三重URL编码绕过的实例,揭示了在某些情况下,简单的防御措施可能不足以阻止攻击。 首先,我们要理解XSS的基本概念。XSS攻击通常发生在Web应用程序未能正确过滤或转义用户输入的情况下。当...
第十一节 绕过替换script和on事件的XSS-01
最新发布
09-15
绕过替换script和on事件的XSS攻击是一种高级的攻击技术,攻击者需要 обладать深入的Web应用安全知识和编程技能。因此,Web应用开发者需要采取相应的安全措施来防止XSS攻击,例如,正确处理用户输入,使用...
记录几种XSS绕过方式1
08-03
XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者...了解并防御这些XSS绕过方法对于网站安全至关重要,开发者应当定期更新和强化过滤规则,同时进行安全审计,确保网站对XSS攻击有足够的防护能力。
XSS平台源代码,最新版本。适合自己部署
03-26
XSS平台源代码,最新版本。适合自己部署,有喜欢信息安全的小伙伴可以一起沟通交流。
XSS语句总结
王骕的专栏
03-07 1万+
基础检测,出现弹框:           (显示1)           alert("xss") (显示xss)           alert(document.cookie) (显示cookie)) Cookie类型XSS     1.Xss 安全测试字符转换工具            工具猫             http://tool.dn8.net/# XSS测试平台
XSS常见的触发标签
热门推荐
LYJ20010728的博客
05-06 1万+
无过滤情况 <script> <scirpt>alert("xss");</script> <img> 图片加载错误时触发 <img src="x" onerror=alert(1)> <img src="1" onerror=eval("alert('xss')")> 鼠标指针移动到元素时触发 <img src=1 onmouseover="alert(1)"> 鼠标指针移出时触发 <img src=1 onm
XSS 绕过长度限制的一些小技巧
angry_program的博客
03-09 2440
前言 很多时候,产生XSS的地方会有变量的长度限制, 这个限制可能是来自服务端的处理结果。 案例 假设下面的代码存在一个XSS漏洞: <input type="text" value="$VAR" /> 服务端如果对输出的变量 $var 做了严格的长度限制, 那么攻击者可能这样构造xss payload: $var: "> <script>...
实现简单的xss
tlucky的博客
04-12 1051
1.简介 XSS(跨站脚本攻击)又叫CSS (Cross Site Script) ,为了区别层叠样式表(CSS)所以叫XSS,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的,它指的是攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 2.利用xss 一、窃取用户的cookie,登陆用户账号 二、进行社工钓鱼,如弹出来
用最的payload绕过WAF(入门)
dfdhxb995397的博客
11-02 694
本文作者:jishuzhain <font color=green>想绕过一个WAF,我们可以用最的payload来做,这里只是基础示例,望各位大佬勿喷,小弟在此谢过。</font> 我在这里先使用一个网页举例。 <script>alert(1)</script> 然后输入经典的payload 拒绝访...
XSS的简单攻击
qq_51627527的博客
12-15 536
xss的分类1 第一种:反射型xss 反射型XSS是最简单的XSS,即输入XSS脚本或输入XSS脚本点击按钮即可完成XSS攻击,同时也称作非持久型XSS。漏洞主要存在于URL地址栏,搜索框等。 第二种:存储型XSS 也叫持久型XSS,主要将XSS代码提交存储在服务器端,下次请求目标页面时不用在提交XSS代码。当目标用户访问该页面获取数据时,XSS代码会从服务器解析之后加载出来,返回到浏览器做正常的HTML和JS解析执行,XSS攻击就发生了。该类型的漏洞主要存在于发帖,回帖评论等模块,以及用户注册等模块。 第
XSS绕过长度限制的两个Tips
Exploit的小站~
09-13 6858
0x00 使用outerHTML<img src onerror=outerHTML=URL>利用了outerHTML和URL(这里的URL是document.URL),将要执行的JS放在url中,从而突破长度限制。使用document.URL构造XSS执行JS。 实例:<?php echo "keywords is:" . substr($_GET['k'], 0, 35); ?>提交URL:h
Web应用安全测试:XSS过滤器逃逸和WAF绕过技术
知识点: 1. XSS 的定义和危害 2. XSS 防御机制,例如黑名单、白名单、sanitize 等 3. XSS Filter Evasion 技术,例如使用 Unicode 编码、使用 HTML 实体、使用 JavaScript Escape 序列、使用 CSS hack 等 4. WAF ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值