小迪安全学习笔记--第28天:web漏洞-xss跨站之WAF绕过及安全修复

最新推荐文章于 2024-03-04 11:55:00 发布
最新推荐文章于 2024-03-04 11:55:00 发布
阅读量582 收藏 1
点赞数
分类专栏: web安全自学笔记 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zr1213159840/article/details/122289336
版权
本文探讨了常规的Web应用防火墙(WAF)绕过技术,包括标签语法替换、特殊符号干扰、提交方式更改等,并介绍了自动化工具如XSStrike的使用。同时,文章提到了安全修复方案,如开启HTTPOnly和输入输出过滤,以及相关资源链接,帮助读者理解和应对WAF防护挑战。
摘要由CSDN通过智能技术生成

常规WAF绕过思路

标签语法替换

特殊符号干扰

提交方式更改

垃圾数据溢出

加密解密算法

结合其他漏洞绕过

xssfuzzer.com可以自动生成语句

自动化工具说明

xssstrike主要特点反射和dom xss扫描

多线程爬虫,context分析,可配置核心,检测和规避waf,老旧的js库扫描,只能payload生成器,手工制作HTML和js解析器

https://github.com/s0md3v/XSStrike

安全修复方案

开启httponly

输入输出过滤等等

php相关:www.zuimoge.com/212.html

java相关:www.cnblogs.com/bianxiansheng/p/9001522.html

铁锤2号
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
28-WEB 漏洞-XSS 跨站WAF 绕过安全修复
MCTSOG的博客
03-13 1337
前言 看视频,没啥写的!水! 常规 WAF 绕过思路 特殊符号干扰
WEB漏洞-XSS跨站WAF绕过安全修复
硫酸超的博客
08-17 680
WEB漏洞-XSS跨站WAF绕过安全修复waf防护演示常规WAF绕过思路XSStrike自动化工具说明XSStrike主要特点反射和DOM XSS扫描Fuzz下XSS绕过WAF安全修复方案 waf防护演示 靶场:xss-labs 被安全狗拦截 分析拦截情况 分析方法: 1、通过去除关键词或关键词的其中些字母判断拦截了什么关键词,如下正常 2、分析了拦截情况可知也可能是尖括号里面如果有s、o之类的关键词其中的某个或多个字母的话就会拦截,正则表达式 3、不拦截,但是不管用 4、正常,并且可以访问
(2020上半年第28(其他漏洞--XXE及口令安全))小迪网络安全笔记
u013630181的博客
12-04 355
[小迪安全28]xss绕过
weixin_54252904的博客
05-30 399
xss绕过\号和垃圾数据更换提交方式使用网站识别的加密方式绕过xssfuzzfuzz字典xsstrike工具 删减操作 进行一些删减 删减不能访问 使用单引号 继续填充垃圾数据 添加斜杆和垃圾数据没有绕过 但在后面添加#号成功绕过,目的是防止继续匹配,注释作用 \号和垃圾数据 \号在javascript中相当于结束标志,目的是让安全狗不匹配后面的数据 垃圾数据是干扰作用 更换提交方式 post提交绕过 使用网站识别的加密方式绕过 xssfuzz http://xs
网站安全修复笔记1
weixin_30650039的博客
11-23 184
QueryString 需要做多项过滤: 1、SQL盲注; 2、跨站点脚本编制; 3、 Microsft FrontPage Extensions站点篡改 4、 链接注入(便于跨站请求伪造)) 5、 已解密的登录请求 6、HTML注释敏感信息泄露 7、 Microsft FrontPage配置信息泄露 8、 发现可能的服务器路...
28WEB漏洞-XSS跨站WAF绕过安全修复1
08-03
WEB 漏洞-XSS 跨站WAF 绕过安全修复#常规 WAF 绕过思路标签语法替换特殊符号干扰提交方式更改垃圾数据溢出加密解密算法结合其他漏洞绕过#自动化
第26WEB漏洞-XSS跨站之订单及Shell箱子反杀记1
08-03
**XSS跨站脚本攻击详解** XSS(Cross-site scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者在用户浏览器上注入恶意脚本。这些脚本可以劫持用户会话、盗取Cookie、操纵页面内容,甚至进行更复杂的攻击。...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结: 1.xss跨站脚本攻击的定义 ...
利用Express模拟web安全之---xss的攻与防
01-26
XSS跨站脚本攻击】是Web应用中常见的安全漏洞之一,其全称为Cross Site Scripting。由于CSS(层叠样式表)的缩写相同,因此为了区分,将其缩写为XSS。攻击者利用XSS漏洞向网页中插入恶意的JavaScript代码,当用户...
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
10-18
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
web漏洞小迪安全课堂笔记XSS
weixin_42902126的博客
03-25 1468
小迪安全课堂笔记——XSS跨站脚本攻击思维导图XSS跨站漏洞产生原理,危害,特点?XSS跨站漏洞分类:反射(非持续型),存储(持续型),DOM反射型存储型DOM型XSS 常规攻击手法平台工具cookie sessioncookie盗取成功条件session获取XSS适用环境绕过httponlyWAF拦截 思维导图 XSS跨站漏洞产生原理,危害,特点? XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、、等各种方式使得用户浏览这个页面时,触发对被攻击站点的http 请求。此时,如果被攻击
xss测试工具xsstrike(基于python3)
weixin_50464560的博客
09-19 7256
xsstrike很强 项目地址: https://github.com/s0md3v/XSStrike 1 安装: git clone https://github.com/s0md3v/XSStrike.git 1 使用文档: https://github.com/s0md3v/XSStrike/wiki/Usage usage: xsstrike.py [-h] [-u TARGET] [--data DATA] [-t THREADS] [--seeds SEEDS] [--json] [-
2021/12/9 xss跨站绕过修复
weixin_44532761的博客
12-09 969
小迪 https://www.bilibili.com/video/BV1Jb4y1d7hW?p=28 参考笔记https://www.yuque.com/weiker/xiaodi/nqcvum https://xssfuzzer.com/fuzzer.html https://gitee.com/yhtmxl/imxss/ https://github.com/3xp10it/xwaf https://github.com/s0md3v/XSStrike https://bbs.pediy.com/t
黑客技术篇|分享一款好用的XSS扫描工具
最新发布
weixin_57514792的博客
03-04 730
一款好用的XSS扫描工具
XSS-Fuzz的艺术
prettyX的博客
12-08 1478
BugBank整理总结。 1、什么是Fuzz 一种基于黑盒的自动化软件模糊测试技术。 可向目标发送随机或精心构造的数据作为计算机输入,来触发非常规反馈以达到检测漏洞的目的。 一般的Fuzz工具自带完备的异常检测机制,发送数据后能精准查出哪些Payload导致了非常规反馈,在输出中将这些触发异常的Payload列出,大大降低了人工测试成本,渗透测试人员只需关注感兴趣的部分。 BruteXS...
xss妙用,快速测试xss漏洞
椰树ii
05-24 1万+
#介绍# 这篇文章的主要目的是去给应用安全测试者提供一份xss漏洞检测指南。文章的初始内容由RSnake提供给OWASP,从他的xss备忘录:http://ha.ckers.org/xss.html 。目前这个网页已经重定向到我们这里,我们打算维护和完善它。OWASP的第一个防御备忘录项目:the XSS (Cross Site Scripting) Prevention Cheat Shee
XSS跨站脚本攻击)原理详解(内含攻击实例)
qq_52642385的博客
07-05 6960
军锋真人cs野战123平台、xss平台(推荐自行搭建xss平台,不让别人白嫖咱自个的成果,蓝莲花战队的那个就挺好)、webshell箱子、postman、beef(kali上可能要自行下载,三行命令即可)、burpsuite、xsstrike【内含软件使用方法】原理:前端提交的一些参数转换为js代码,可以回显一些东西跨站:例如你将一段攻击代码通过留言存储到对方服务器上时,对方管理员在浏览时就可能会执行你所写的攻击语句。产生层面:前端函数类:一般应用js里面的一些输出类函数但是会受浏览器内核影响,一些浏览器会
安全】P 4-28 XSS Fuzzing 工具
Z_David_Z的博客
02-21 335
目录0X01 XSStrike工具介绍0X02 XSStrike工具安装0X03 XSStrike帮助信息0X04 XSStrike实例演示 0X01 XSStrike工具介绍 XSStrike是一款检测Cross Site Scripting的高级检测工具。它集成了payload生成器、爬虫和模糊引擎功能。XSStrike不是像其他工具那样注入有效负载并检查其工作,而是通过多个解析器分析响应,然后通过与模糊引擎集成的上下文分析来保证有效负载。除此之外,XSStrike还具有爬行,模糊测试,参数发现,WAF
网络安全-XSStrike中文手册(自学笔记
热门推荐
关注网络安全、云原生安全
10-15 1万+
目录 安装 克隆 安装模块 环境要求 python版本 操作系统 选项 帮助 添加目标url 单个 GET方法 POST方法 从文件 测试url路径组件 POST数据为json格式 爬取 默认 爬取深度 从文件读取payloads 查找隐藏参数 时间问题 线程数 超时 延迟 headers 盲注 有效负载编码 模糊测试 日志显示最低级别 是我打开方式不对吗?什么玩意呀 安装 克隆 git clone https://github.c.
Web安全实验:跨站攻击(XSS+CSRF)原理与实战
"本次实验主要关注的是Web安全中的两种重要攻击方式:跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。实验旨在让参与者深入理解这两种攻击的原理,掌握不同级别的攻击实施,并了解相应的防御和修复措施。实验环境为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值