xss filter绕过技巧

最新推荐文章于 2023-09-01 16:03:00 发布
最新推荐文章于 2023-09-01 16:03:00 发布
阅读量2.5k 收藏 1
点赞数
文章标签: xss ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wy_97/article/details/77768202
版权

首先提一句,绕过filter的技巧前提是其没有过滤完全

比如:

 

<div>
  <?php echo htmlspecialchars($_POST['xss']); ?>
</div>

这种就根本没法操作了

 

看完《白帽子讲web安全》xss一篇,简单总结一些常用的可能存在的技巧:

  • 转换大小写

  • 大小写混写

  • 双引号改单引号

  • 引号改为/

  • 用全角字符

  • 使用javascript伪协议

  • 使用回车、空格等特殊字符

  • 在css的style中使用/**/注释符

  • 使用字符编码

  • 利用事件触发xss

 

 

 

Sp4rkW
关注
专栏目录
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
XSS过滤器Filter实现全过程
热门推荐
qq_38118138的博客
06-21 1万+
XSS过滤器Filter实现全过程 需求: 对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 4198
Springboot配置XSS过滤器XssFilter
JAVA代码审计XSSFilter动态代理过滤
dzqxwzoe的博客
08-10 1554
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。
XSSBypass:XSS绕过技术
05-17
**XSS(跨站脚本攻击)Bypass:探索XSS绕过技术** XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本,进而执行非授权的操作。当Web应用程序未能充分地验证和转义...
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
关于pdf文件xss攻击问题,配置xssFilter方法
最新发布
12-21
3. 自定义XSSFilter:如果需要更细粒度的控制,可以创建自定义的XSSFilter类,重写`doFilter`方法,进行特定的XSS清理逻辑。这通常包括对请求参数、响应内容的清洗,去除或转义可能引发XSS的特殊字符。 4. 配置过滤...
XSSFilter源码
06-03
### XSSFilter源码详解 #### 一、XSSFilter概览 XSSFilter是一种用于防止跨站脚本攻击(Cross-Site Scripting,简称XSS)的安全组件。它通过过滤HTTP请求中的潜在恶意数据来阻止XSS攻击的发生。在本文档中,我们将...
Java添加过滤器过滤xss入侵
qq_49326435的博客
08-22 2637
java防止XSS攻击
xss】Java编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4955
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
xss漏洞攻击,Filter实现xss漏洞
化名三爷
07-18 2035
该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,
XSS攻击,使用Filter转义
熊浪的博客
09-09 866
Filter转义后的特殊字符,如果需要直接使用可以通过 XssFilter.XssHttpServletRequestWrapper.unescapeHtml(value)还原,入库和传给前端用转义后的字符串,前端自行还原。
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 383
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
【技术总结】使用Filter进行XSS过滤
张育嘉的博客
11-18 5511
一般来说,系统进行表单数据处理时都需要解决类似XSS攻击以及转义这样的问题,这样的问题具有普遍性,不可能在每个提交表单数据的处理中都加入重复的处理代码。通常通过 Filter 或 Interceptor 来拦截处理。 这里介绍下通过 Filter 进行XSS过滤的方法。 流程:使用Filter拦截请求,将普通请求转化为包装过的可以处理XSS的自定义请求,之后获取参数时都会经过XSS处理。 主要实...
过滤器防止xss攻击
yizhousai0662的博客
09-01 1248
将参数中有关xss攻击的非法字符全部处理掉。
java filter 跳过_http请求绕过Filter的实现实例
weixin_35048266的博客
02-13 941
http请求绕过Filter的实现实例场景:两个web服务器,A当做服务端,B为客户端,B通过Hessian远程访问A。A上加了session过期filter,通过用户信息检查session是否过期。这种情况下,Hessian会先发给filterfilter读不到用户信息就会认为过期了,引起错误。解决方案:让hessian请求绕过session过期filterfilter配置中,不能加excl...
XSS攻击绕过技巧详解
若系统加载了特定的外部资源(如`1.js`),攻击者可以通过设置`<base>`标签来改变页面的基URL,结合其他XSS技巧,可能绕过过滤规则并注入恶意脚本。 以上这些绕过策略提醒我们在实施Web应用安全防御时,需要全面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值