xss学习记录一

最新推荐文章于 2023-07-17 14:18:08 发布
最新推荐文章于 2023-07-17 14:18:08 发布
阅读量347 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wh11te/article/details/89192577
版权

0x00 xss常用到的编码:

1. html 实体编码(10进制和十六进制):
  例如[<]编码为:html 十进制:&#60; html 十六进制:&#x3c;
  
2. javascript 八进制和十六进制:
  例如 [<]编码为: javascript 八进制:\74  javascript 十六进制:\x3c
  
3.url编码和base64编码:
   例如[<]编码为:url编码: %3c  base64: PA==
   
4.jsunicode 编码:
   例如[<]编码为:jsunicode:\u003c

0x01 各类编码在xss使用场合:

1.html实体编码:浏览器会在html标签里解析html实体编码。($colon;=>(冒号) &NewLine;=>(换行)

2.javascript 编码:javascript 中识别的编码有:Jsunicode  js八进制  js十进制 当标签的属性引用了javascript伪协议,就可以执行代码  
例如<a href="javascript:;"></a> 可以在href跳转时执行js代码。当我们输入的值存入了某一个变量,且出现在一个能把字符串当作js代码执行的函数里面。eval()   setlnterval()  setTimeout()

3.base64 编码:如果有可控点,但过滤了' '' < > javascript 等,可以尝试base64
例如:<a                 href="data:text/html;base64,payload(base64编码过的)">test</a>

0x02总结:

之前一直搞不懂大佬们写的payload,为啥可以这样插可以,换一个就不可以,就是对于编码和浏览器的解析不了解,小白的我可以说是稀里糊涂的,所以做不到灵活应用,还是要把原理的东西搞懂,才能活用呀,加油学习哦!

wh11te
关注
java xss 正则表达式_java 防止 XSS 攻击的常用方法总结.
weixin_42515380的博客
02-24 2404
java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击.,但这只是攻击的一种方式,还有其他方式,比如今天要记录XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻击呢,下面给出几...
pikachu靶场之XSS学习笔记
Mbys_Lettuce的博客
10-01 465
XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。因此在XSS漏洞的防范上,一般会采用“对输入进行过滤”和“输出进行转义”的方式进行处理:输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入;
XSS学习笔记
weixin_44377940的博客
03-09 184
XSS(跨站脚本攻击)分为反射型(不持久)、存储型(存储在服务器中,持久)、DOM型。
xss学习总结(二)
鸣蜩十四的博客
09-05 218
Browser Exploitation Framework (BeEF) BeEF是目前最强大的浏览器开源渗透测试框架,通过xss漏洞配合JS脚本和Metasploit进行渗透; BeEF是基于Ruby语言编写的,并且支持图形化界面,操作简单; 具体的操作过程我也是看完别人的博客以后才完全明了; https://blog.csdn.net/Laon_Chan/article/details/78...
java xss 正则表达式_捕获XSS(跨站点脚本)攻击的最佳正则表达式(在Java中)?...
weixin_39562340的博客
02-16 726
小编典典不要使用正则表达式执行此操作。请记住,您并不是仅仅针对有效的HTML进行保护;您可以防止Web浏览器创建的DOM。可以诱使浏览器很容易地从无效的HTML生成有效的DOM。例如,请参阅此混淆的XSS攻击列表。您是否准备量身定制正则表达式以防止在IE6 /7/8上对Yahoo和Hotmail进行这种现实世界的攻击?如何在IE6上进行这种攻击?该网站未列出的攻击如何?Jeff的方法存在的问题是,...
常用正则表达式大全(Xss防范、sql注入、手机邮箱验证等等,持续补充~)
少说,多做
05-20 1万+
常用正则表达式大全 文章目录一、安全防范类1.SQL注入1.Xss拦截二、常用校验类1.手机号校验2.邮箱校验3.邮政编码校验4.IP地址校验使用示例 一、安全防范类 1.SQL注入 (\=.*\-\-)|(\w+(%|\$|#|&)\w+)|(.*\|\|.*)|(\s+(and|or)\s+)|(\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|mast
XSS 学习笔记(源码分析)
jieli0901227的博客
11-30 850
XSS
XSS漏洞学习笔记
jazzz98的博客
07-17 444
通常指黑客通过“HTML注入”纂改了页面,插入了恶意的脚本,从而在用户浏览页面时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫“跨站脚本”。但是发展到今天,由于Javascript的强大功能以及网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,这个名字保留了下来。假设一个页面把用户输入的参数输出到页面上:1
XSS
ABC-II
09-06 2934
XSS (Cross Site Scripting) Cheat Sheet                                                                     XSS (Cross Site Scripting) Cheat SheetEsp: for filter evasion
XSS插入绕过一些方式总结
热门推荐
煜铭2011
05-05 7万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
XSS基础学习笔记
曹世宏的博客
09-22 2262
XSS基础 XSS概念: 通常情况下,在Web应用的网页中,有些部分的显示内容会根据外届输入值而发生变化(会反弹恶意代码),而如果生成这些HTML的程序中存在问题,就会滋生名为跨站脚本(Cross-Site Scripting)的安全隐患。由于它和知名的CSS(层叠样式表)缩写冲突,所以经常缩写为XSSXSS的风险: Web应用若存在XSS漏洞,就会有如下风险: 用户的浏览器中运行攻击者的恶...
xss.haozi 思路总结 0x00-0x12
yukinorong的博客
08-20 1517
xss刷题网站2 https://xss.haozi.me/ 一个非常可爱的网站。这是网站界面,题目序号是十六进制,一共19道题。 0x00 直接输入<script>alert(1)</script> 0x01 先闭合textarea框再实现</textarea><script>alert(1)</script> 0x02 在input...
UNIX套接字“\0XXX“ 格式化抽象本地地址
vegeta852的博客
03-05 459
UNIX套接字"\0XXX" 格式化抽象本地地址 创建AF_UNIX unix套接字,路径名的第一个字节为空字节时,就可以让本地套接口地址成为了格式化抽象本地地址,在路径名中空字节之后的字节才会成为抽象名字的一部分。 int32_t sock = -1; int32_t one = 1; sock = socket(AF_UNIX, SOCK_STREAM | SOCK_CLOEXEC, 0); struct sockaddr_un addr = { .sun_family = AF_UNIX,
vpn集中配置方法.docx
09-17
cisco设备配置指导
吉他谱_What's My Age Again - Blink-182.pdf
09-17
初级入门吉他谱 guitar tab
c1900-universalk9-npe-mz.SPA.151-2.T0a.bin
09-17
c1900-universalk9-npe-mz.SPA.151-2.T0a.bin
c1900-universalk9-mz.SPA.151-4.M4.bin
最新发布
09-17
c1900-universalk9-mz.SPA.151-4.M4.bin
吉他谱_Whole Lotta Love - Led Zeppelin.pdf
09-17
初级入门吉他谱 guitar tab
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值