XSS学习笔记(六)-XSS蠕虫

最新推荐文章于 2023-05-31 08:37:58 发布
最新推荐文章于 2023-05-31 08:37:58 发布
阅读量4.7k 收藏 3
点赞数
分类专栏: 信安学习 Web渗透学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l_f0rm4t3d/article/details/24622757
版权
3.XSS蠕虫


对于XSS蠕虫,无非就是在客户端提交的时候绕过过滤和转义,可以在继续在浏览器端执行的js 等代码,这里提供几种加密方式:


原型:<script>alert(XSS)</script>
URL Encode: 大小写(所谓URL编码就是:把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+))
%3cscript%3ealert('XSS')%3c/script%3e  
%3Cscript%3Ealert%28XSS%29%3C/script%3E


Base32 Encode:
hrzwg4tjob2d4ylmmvzhikcyknjsspbponrxe2lqoq7a


Base64 Encode:
PHNjcmlwdD5hbGVydChYU1MpPC9zY3JpcHQ+
HTML Entities Encode:
&lt;script&gt;alert(XSS)&lt;/script&gt;


Unicode or Hex绕过(只是列举几个):
' == \u0027
' == \x27
+ == \u002b
+ == \x2b
1_f0rm4t3d
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
xss基础
weixin_54246834的博客
07-27 429
XSS:跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者用户可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻击。这类攻击通常包含了HTML以及用户端脚本语言用户提交的数据中可以构造代码来执行,从而实现窃
XSS攻击——SamyWorm 源代码分析
z646683869的博客
04-10 1164
在2005 年,年仅19 岁的Samy Kamkar 发起了对MySpac巳.com 的XSS Worm 攻击。Samy Kamkar 的蠕虫在短短几小时内就感染了100 万用户一一它在每个用户的自我简介后边加了一句话"but most of all, Samy is my hero." (Samy 是我的偶像〉。这是Web 安全史上第一个重量级的XSS Worm ,具有里程碑意义。 以下为根据对Samy Worm分析的文章进行的格式整理,方便阅读: MySpace 过滤了很多危险的HTML 标签,只保留
XSS(Cross-site Script,跨站脚本)漏洞笔记
qq_32812063的博客
11-22 1600
xss笔记
xss漏洞之——XSS蠕虫、DDOS攻击
wsnbbz的博客
03-04 2096
介绍 通过构造的 XSS 代码,通过精心构造的 XSS 代码,可以实现非法转账、篡改信息、删除文章、自我复制等诸多功能。 此处以更改密码为例 代码: <img hidden src='http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Chang...
XSS 攻击原理
彰彰大人
12-09 1063
XSS攻击场景,攻击原理及防御
xss-labs-master.rar
05-09
总结,"xss-labs-master.rar" 是一个宝贵的XSS学习资源,它不仅涵盖了XSS的基础理论,还提供了实战经验,对于想要深入理解和防范XSS攻击的人来说,是一次难得的训练机会。通过系统地完成这二十个关卡,你将能够更好...
xss测试语句大全--5000条
03-24
xss测试语句---5000条
WEB渗透学习-XSS-labs靶场
04-20
**XSS(跨站脚本攻击)学习指南:XSS-labs靶场详解** XSS,全称为Cross-Site Scripting,是网络安全领域常见的漏洞类型之一。它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个...
XSS发生的位置-01
09-15
例如,在某个 Web 应用程序中,攻击者可以提交一个恶意 HTTP 头,如 `X-XSS-Protection: 0; <script>alert('XSS')</script>}`,如果服务器端没有对输入进行正确的过滤和编码,可能会将恶意脚本插入到页面中,从而导致...
存储型XSS灰盒测试-01
09-15
在这个课程中,我们学习了如何进行存储型XSS的灰盒测试,包括环境搭建、定向XSS挖掘、黑名单审计和绕过过滤、触发XSS。这些知识点对于Web应用程序的安全检测和防护非常重要。 存储型XSS是一种非常危险的Web应用安全...
XSS蠕虫&病毒--即将发生的威胁与最好的防御
05-28
XSS蠕虫&病毒--即将发生的威胁与最好的防御
7. xss蠕虫
HWHXY的博客
01-17 1078
layout: post title: 7. xss蠕虫 category: SRC tags: SRC keywords: SRC,XSS 前言 该篇记录为记录实际的src过程第7篇小文章,内容为某网站的xss蠕虫XSS特征 触发点惊奇的出现在发送文章中,插入图片的地方可以执行js,由于是发布文章(真的没有想到现在还能这种洞,所以说不能自以为然),所以可以造成蠕虫。如下漏洞和代码都是队友林百万 所为,之前没有用过,特此记录一下。可蠕虫的存储型xss,属于高危害。 蠕虫代码 可以直接插入<scr.
xss攻击之新浪微博xss蠕虫
zhangzhangdan的博客
07-21 2591
xss蠕虫:通过一个bug,感染其他结构都出现问题 我们根据一段xss攻击链接来看一下: 很显然,javascript代码被解析了,那它原型是什么呢,怎么看  通过这样我们可以看出,这段javascript代码是指向一个js文件,js文件中写的是一些文章标题链接,而这段链接也是携带这段javascript代码,这样当有人点击了这段链接,就又执行这个xss攻击操作了,这样一传十,十传百...
XSS蠕虫攻击
iteye_4538的博客
09-22 1257
XSS (cross-site scripting),即跨站脚本攻击,它的本质还是一种“HTML注入”,用户的数据被当成了HTML代码一部分来执行,从而混淆了原本的语义,产生了新的语义。 来看一张某网站遭受XSS攻击后的图片, [img]http://dl2.iteye.com/upload/attachment/0101/3717/a83f235a-329f-30b0-9f85-3aa7...
【实战】储存XSS+CSRF(XSS绕过到蠕虫攻击)
XunanSec的博客
05-23 563
0x00 存储XSS 1) 可绕过的XSS 给大家分享个漏洞案例,今天上午刚把电脑修好 某技术学院储存XSS+CSRF(XSS绕过滤到蠕虫攻击) 注册处:http://xxx.edu.cn/meol/xxxx需要注册才能进入社区发表,先说下储存XSS,过滤了,发现可绕过 储存XSS:http://xxx.edu.cn/meol/xxx?genre=80&type=0 他是先过滤再输出,而不是输出时过滤,从而导致可绕过 我们发现他输入时就进行了过滤,直接替换<script>a.
渗透测试岗面试题汇总
hack0919的博客
04-13 1477
有些是网上整理的渗透测试岗⾯试问题,有些 HW ⾯试的题,已经收集好了,提供给⼤家
护网蓝队(初级)
AiENG_07的博客
05-31 4398
以linux为主(一般都会问linux的),查看/var/log/secure系统日志,查看登录失败的记录,还有Linux历史命令-->home目录的bash\_histor,查看执行过的命令。参考见:https://blog.csdn.net/scanf\_linux/article/details/100995055。开始检测漏洞,如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含,远程命令执行,弱口令,上传,编辑器漏洞,暴力破解等。
新浪微博曾经受到过xss蠕虫攻击
gaisidewangzhan1的博客
05-15 1443
2)蠕虫新浪微博曾经受到过xss蠕虫攻击,代码如下[javascript] view plain copyfunction createXHR(){      return window.XMLHttpRequest?      new XMLHttpRequest():      new ActiveXObject("Microsoft.XMLHTTP");  }  function getap...
XSS详细讲解
热门推荐
qq_44857938的博客
06-18 1万+
XSS 1.XSS简介 (1)XSS简介 XSS作为OWASP TOP 10之一。 XSS中文叫做跨站脚本攻击(Cross-site scripting),本名应该缩写为CSS,但是由于CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascript(js)来完成恶意的攻击行为。 XSS是一种经常出现在web应用中的计算机大全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站对用
xss-labs-master靶场
最新发布
09-29
xss-labs-master靶场是一个用于学习和实践跨站脚本攻击(Cross-Site Scripting,简称XSS)的实验环境。可以从GitHub上下载该靶场的源码,地址是https://github.com/do0dl3/xss-labs。在这个靶场中,你可以找到各种关于XSS的实例和挑战,通过实践来提高对XSS攻击的理解和防御能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值