xss检测和绕过方法

最新推荐文章于 2024-08-14 08:04:57 发布
最新推荐文章于 2024-08-14 08:04:57 发布
阅读量7k 收藏 10
点赞数
分类专栏: web安全 xss漏洞挖掘 文章标签: xss web漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ylcangel/article/details/88086205
版权
本文详细介绍了XSS跨站脚本攻击的测试步骤,包括如何输入特殊字符串进行监控,避开过滤测试,以及在HTTP消息头中寻找漏洞。同时,文章提供了多种XSS攻击字符串实例和绕过净化的方法,如利用JavaScript事件处理器、URL特性以及String.fromCharCode技巧来规避防御机制。
摘要由CSDN通过智能技术生成

xss
测试步骤:
1、输入一个几乎不出现的字符串在应用程序中,以其作为每个页面的每一个参数,且每次只针对一个参数,
监控程序响应,看是否出现同样字符串,然后替换字符串为脚本,在进行测试。
2、进行避开过滤测试。
3、post发现xss,要用burp的get同样继续测试.
4、对http消息头进行测试。

实例(如输入myxsstest),进行这些测试时必须对任何特殊字符如&,=+;和空格进行url编码:
1、验证性测试攻击字符串:"><script>alert(document.cookie)</script>,可以用于实现自动化
2、终止包含字符串的双引号,结束之前的html标签,然后通过其他方法引入js脚本,如:
"><script>alert(1)</script>
3、为避开过滤,在该html标签中包含js事件处理器,如标签为<input type="text" name="addr" value="myxsstest">:
" οnfοcus="alert(1)
4、当受控字符串被插入到现有的脚本中,可以终止字符串周围的单引号,用一个分号终止整个语句,然后后直接处理想要执行的js,如:
返回相应是:<script> var a = 'myxsstest' ; var b = 123,...</script>
替换myxsstest为 :&#

最低0.47元/天 解锁文章
sp00f
关注
专栏目录
关于对XSS原理分析与绕过总结
stopys6的博客
10-08 2441
如果服务器与客户端之间要传输某个特殊字符,像是<>,'等这类会被当做标签或者属性值等来解析的字符,为了避免歧义就需要使用到HTML实体化编码来进行编码了。Q2、HTML编码的几种方式别名形式:因为比较多可以见HTML 字符实体 (w3school.com.cn)十六进制:像就会被编码为<div>十进制:上述标签在十进制会被编码为<div>Q3、为什么需要JavaScript解码?通过JavaScript编码,可以对特殊字符进行转义,防止数据在传输过程中产生语法错误或安全漏洞
xss绕过
weixin_51692662的博客
08-19 2653
xss绕过
XSS绕过姿势(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
08-14 597
以下姿势都是笔者在实战中经历过的,并且记录下来,时间可能比较久远具体的payload在实战中不一定能触发,但是绕过的思路还是以此基础进行改进的,这里笔者将一些payload在这里分享给各位师傅。
XSS 攻击的检测和修复方法
Java徐师兄的博客
07-13 3055
XSS 攻击是一种常见和危险的 Web 攻击,开发者需要对输入数据进行过滤和转义,使用安全的编程语言和框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML 和 PHP 标签 $data = strip_tags($data);
XSS攻击绕过过滤方法大全(转)
热门推荐
mingyqf的博客
04-20 2万+
XSS攻击绕过过滤方法大全(约100种) 虽然说很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS注入。 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录,现在此XSS备忘录将由OWASP维护和完善它。 OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Cheat She
xss绕过思路
W小哥
04-13 2366
1、前端限制绕过(比如:JS),直接抓包改包重放,或者修改html前端代码 2、大小写绕过,比如:pt> 4、使用注释进行干扰:<script>alert(/xss/)</script> 后台过滤了特殊字符,比如 ...
XSSBypass:XSS绕过技术
05-17
4. **XSS检测与防护** - 输入验证:对用户提交的所有数据进行严格的检查,确保没有注入的脚本。 - 输出转义:对所有输出到页面的内容进行转义处理,确保不会执行任何代码。 - 使用HTTP头部的Content-Security-...
第十二节 XSS 过滤器绕过-01
09-15
然而,攻击者可以使用绕过技术来规避 XSS 过滤器的检测,从而实现攻击目的。 本文将讲解 XSS 过滤器绕过技术的四个方面:本地搭建环境、XSS payload 测试、自动化工具测试和关注最新 HTML 等内容。 本地搭建环境 ...
XSS绕过和防御
发哥微课堂
04-21 1376
0x00:简介 最近在整理 TOP10 的审计点,上篇文章介绍了 A3XSS 问题,这里的 TOP10 是以 2013 的来记录的,对于 XSS 因为篇幅原因上篇只记录了一些示例代码,这篇顺便补充一下 XSS绕过和防御。 0x01:绕过 XSS 绕过方法很多,涉及到的面也非常广泛,我们这里只记录常见的一些绕过方式。 1,最基本的就是利用 <> 来写入 html 和 js 代...
XSS测试
酷狗直播-锦凡歆的博客
05-23 513
跨站脚本漏洞Web应用程序在将数据输出到网页的时候存在问题,导致恶意攻击者 可以往Web页面里插入恶意JavaScript、HTML代码,并将构造的恶意数据显示在页面的漏 洞中。攻击者一般利用此漏洞窃取或操纵客户会话和 Cookie,用于模仿合法用户,从而 使攻击者以该用户身份查看或变更用户记录以及执行事务。 跨站一般情况下主要分为存储型跨站、反射型跨站、DOM型跨站。存储型跨站脚本...
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
白帽子佳奇的博客
12-12 5088
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
xss绕过方式
weixin_55821558的博客
03-18 8981
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.xss的类型以及常用标签 二.xss常用绕过 总结 前言 xss(cross-site-scripting)中文:跨站脚本攻击 常年位于owasp top ten,可见他的地位。 基于javascript完成恶意攻击,javascript使用灵活 他可控制网页的行为 操作html、css、和浏览器,所以他的危害性特别大,了解并学习xss原理对于防范xss攻击意义重大。 提示:以下...
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 6511
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞检测指南。
XSS绕过技巧
weixin_52501704的博客
02-10 4769
XSS绕过技巧
简单的xss检测
日渐机智的博客
12-09 1216
简单的xss检测 创建xss检测工具类XssUtil public class XssUtil { private static final Logger logger = LoggerFactory.getLogger(XssUtil.class); private static List<Pattern> patterns = null; /** * @return */ private static List<Object[]
【网络安全 --- XSS绕过xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧
m0_67844671的博客
10-18 1638
【网络安全 --- XSS绕过xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧;你知道xss如何绕过吗?本篇讲述了一些xss常见的绕过手法及技巧,包括双写,大小写绕过,编码绕过等,过来看看吧
XSS绕过总结
qq_42990434的博客
05-29 1万+
有时候明明有一个xss漏洞,但是却有xss过滤规则或者WAF保护导致我们不能成功的利用,这些会屏蔽掉我们的代码,会导致我们执行完代码之后什么反应都没有,这时候我们可以审查一下元素,看看我们的代码有没有替换为空,或者替换成其他东西,或者那些符号被过滤掉了。 比如:我们输入<script> alert(“hi”) </scrip>, 会被转换成<script> alert(>xss detected<) </scrip>,这样的话我们的js语句就不生效
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值