如何挖掘xss漏洞

最新推荐文章于 2024-07-10 15:30:25 发布
最新推荐文章于 2024-07-10 15:30:25 发布
阅读量185 收藏
点赞数
分类专栏: xss 文章标签: xss 漏洞 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70137901/article/details/134518020
版权

如何挖掘xss漏洞

对于如何去挖掘一个xss漏洞我是这样理解的

在实战情况下不能一上来就使用xss语句来进行测试很容易被发现

那这种情况该怎么办呢
打开准备渗透测试的web网站,寻找可以收集用户输入的地方比如搜索框,url框等
在这里插入图片描述
发现后寻找注入点
选在输入框中输入写字符观察页面是否会原样返回
在这里插入图片描述
可以明显看到这个服务器是有进行返回的那就说明可能存在xss注入
在这里插入图片描述

输入xss语句测试后发现虽然回显但是不执行
在这里插入图片描述
这是字符被html实体化了,这样就要找绕过方法了

比如对字符进行转码

字母ASCII 码十进制编码十六进制编码
a97aa
c99c&#x63
e101ee

将javascript全部转换

<a href='&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:alert(/
xss/)'>click me!</a>

或者进行其他编码:

  • utf-8 编码
  • utf-7 编码

对空号回车制表符进行转码

  • 可以将以下字符插入到任意位置

    字符编码
    Tab&#9;
    换行&#10;
    回车&#13;
<a href = 'j&#9;avasc&#10;r&#13;ipt:alert(/xss/)'>click me!</a>

再一个就是被安全狗拦截
这样想办法绕过安全狗
比如< svg onload="alert(document.cookie)">

在这里插入图片描述

抠脚大汉在网络
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手动挖掘xss漏洞
qq_57307348的博客
02-17 1704
得到
Flash XSS漏洞挖掘1
08-03
【Flash XSS漏洞挖掘1】 Flash XSS(跨站脚本)漏洞是网络安全领域中一个重要的问题,尤其是在企业级的Bug Bounty活动中。尽管这个概念并不新鲜,早在2002年就已经有相关的技术出现,但近期在Apple、Amazon、Adobe...
手动挖掘XSS漏洞
LJH1999ZN的博客
02-17 2665
一、xss注入的思路 在目标网站找到注入的点,例如注册,留言,搜索,提交,评论等页面 在注入点输入一些字符,' " < > script alert javascript,点击提交查看是否被过滤。 通过未过滤的语句判断是否可以进行js代码的编写 提交构造的脚本,或者通过绕过的方式查看源码,判断是否存在xss漏洞 一般查询接口、用户登录、搜索、订单提交容易出现反射型XSS,留言板、评论、用户昵称、用户信息等凡是可以提交数据由服务器进行存储和显示的位置都有可能出现存储型跨站容易出现存储型X
如何挖掘XSS漏洞
m0_70937289的博客
11-21 57
如:在PHP中的htmlspecialchars()、htmlentities()函 数可以将一些预定义的字符转换为HTML实体,如:小于转化为、双引号转化为"、单引号转化为&apos、与转化 为&等。●对于反射型和存储型XSS,可以在数据返回给客户端浏览器时,将敏感字符进行转义,如:将单引号进行编码替换(十进制编码'、十六进制编码'、HTML编码&apos、Unicode编码\u0027等)。用户浏览被XSS注入过的网页,浏览器就会解析这段代码,就被攻击了。●使用内容安全的CSP。
挖掘xss漏洞
WSGWZlz的博客
11-20 190
XSS–跨站脚本攻击作为 OWASP TOP 10(2017)内容之一,主要使用 JavaSript 来完成恶意攻击的行为。
XSS漏洞检测和利用
2301_80127209的博客
04-25 1007
通过构造一些特殊的xss poc,在可能出现XSS漏洞测试点将这些语句传入网站,我们就能过够相对轻松的探测出XSS漏洞
web漏洞-xss漏洞
qq_44312640的博客
11-10 1219
介绍xss漏洞的产生原因、危害、分类、防护,xss平台介绍、beef工具介绍及xss-labs漏洞靶场演示等。
XSS漏洞挖掘与验证
weixin_42109829的博客
12-04 1468
挖掘的方法: 1、手工挖掘 方法:靠闭合标签加一些限制绕过等等的 标签闭合配合浏览器的测试,因为有时候提交的那些表单里面是限制长度的,所以我们可以: (1)用bp进行抓包改包,进行探测。 (2)直接在前端修改源代码进行修改长度限制。 挖掘验证思路: 1、先找数据交互的地方 用户输入点、输出点、文件上传地方、flash、在url当中,get的地方,有注入的 地方,这...
挖掘XSS漏洞
xy_wjyjw的博客
11-21 32
alert(/xss/)
XSS 漏洞详解
good good study
03-12 7743
XSS跨站脚本攻击(Cross Site Scripting),的本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。比如读取cookie,session,tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈等。比较经典的事故有...
XSS漏洞挖掘与安全防护.pdf
08-08
XSS相关漏洞一直是无法忽略的问题,即使再好的开发工程师也避免不了写出”不安全”的代码,这次议题将深入浅出的介绍一下XSS漏洞形成与危害。
XSS漏洞 DOM型测试 payload代码
02-26
XSS漏洞 DOM型测试 payload代码 这是测试跨脚本攻击是否有DOM型XSS漏洞,适合网络安全初学者进行测试。 跨脚本攻击漏洞是top10的一种。
XSS Scanner 1.0 挖掘XSS漏洞的利器
02-11
总之,XSS Scanner 1.0作为一款强大的XSS漏洞挖掘工具,能够帮助我们提升Web应用的安全性,防止恶意攻击者利用XSS漏洞对用户数据造成威胁。通过深入理解和合理使用此类工具,我们可以更好地保护我们的在线服务免受跨...
XSS漏洞挖掘与安全防护.pptx
04-06
XSS漏洞挖掘与安全防护,
struts2如何防止XSS脚本攻击(XSS防跨站脚本攻击过滤器)
最新发布
qq_37996327的博客
07-10 88
struts2如何防止XSS脚本攻击(XSS防跨站脚本攻击过滤器)
网络安全筑基篇——XSS、XML、XXE
weixin_55762309的博客
07-10 447
XSS、XXE、XML的区别
XSS平台的搭建
weixin_42515203的博客
07-07 326
XSS平台的搭建
JAVA实践期末复习题.docx
07-10
JAVA实践期末复习题.docx
xss漏洞原理及挖掘方法
05-12
XSS漏洞挖掘方法一般包括以下几个步骤: 1. 扫描目标网站:使用一些扫描工具,如Burp Suite、OWASP ZAP等,对目标网站进行扫描,找出可能存在的XSS漏洞。 2. 注入恶意脚本代码:在目标网站的输入框中注入恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值