pikachuxss之过滤、htmlspecialchars

原创 已于 2022-09-13 11:53:10 修改 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #前端 #javascript

于 2022-09-12 20:25:09 首次发布
本文探讨了XSS跨站脚本攻击的过滤机制,通过实例展示了如何利用大小写绕过、htmlspecialchars函数的局限性进行XSS攻击。同时,提到了浏览器对JavaScript注入的响应,以及如何构造有效payload来规避过滤。文章最后总结了XSS常见的绕过手法,对于理解Web安全和提升防护能力具有指导意义。

pikachu

xss之过滤

xss过滤就是提交上来的数据中的敏感词汇直接过滤掉,如

尝试了许多的命令如:

插入script:<scr<script>ipt>alert("XSS")</scr<script>ipt>
结果出现:别说这些’>'的话,不要怕,就是干!

加入href超链接:<a href="javascript:alert(1)">XSS Test</a>
出现:别说这些’'的话,不要怕,就是干!

下面是尝试:

image-20220912181311749

都没有成功,但是我忘了最常见的大小写绕过:<ScrIpt>alert("XSS")</scRiPt>结果就出现了:

image-20220912181556805

查看了源码才发现,仅仅是对<script进行过滤:
image-20220912181708804

随后可以任意进行插入命令如:<button onclick="alert('xss')">点我</button>
显示:image-20220912182024242

大佬总结

(2条消息) XSS常见的绕过手法_Redredredfish的博客-优快云博客_xss绕过

xss之htmlspecialchars

**htmlspecialchars() 函数:**把预定义的字符 “<” (小于)和 “>” (大于)转换为 HTML 实体,把 < 和 > 转换为实体常用于防止浏览器将其用作 HTML 元素。

该函数默认不过滤单引号,只有设置才可以过滤单引号;

学习构造payload:'onclick='alert(111)' 出现:
image-20220912201834508

题外又发现了payload:javascript:alert(1) 出现:
image-20220912201958168
源码:
在这里插入图片描述

pikachu靶场第十二关——XSS(跨站脚本)之xsshtmlspecialchars(附代码审计)
03-22 1727
有些字符,像(<)这类的,对HTML(标准通用标记语言下的一个应用)来说是有特殊意义的,所以这些字符是不允许在文本中使用的。注释:在 PHP 5.4 之前的版本,无法被识别的字符集将被忽略并由 ISO-8859-1 替代。自 PHP 5.4 起,无法被识别的字符集将被忽略并由 UTF-8 替代。包含无效的编码,则返回一个空的字符串,除非设置了 ENT_IGNORE 或者 ENT_SUBSTITUTE 标志。布尔值,规定了是否编码已存在的 HTML 实体。一个规定了要使用的字符集的字符串。
pikachu靶场练习——XSS详解
qq_42176496的博客
09-04 3106
pikachu靶场 XSS详解
JavaScript防御XSS攻击的过滤技术实战
最新发布
weixin_42610010的博客
10-21 901
可通过escapeHtml配置项替换默认的转义函数,实现更严格的编码策略:此功能适用于需要符合特定合规标准(如SOC2、GDPR)的系统,确保输出始终处于“双重保护”状态。综上,js-xss不仅是一款实用工具,更是一套完整的安全工程解决方案。掌握其核心机制与配置技巧,是构建健壮Web应用不可或缺的能力。在现代Web应用安全体系中,内容过滤机制的核心之一是白名单控制策略。与黑名单相比,白名单通过明确允许特定标签和属性的方式,从根本上缩小了攻击面,提升了系统的可预测性与安全性。
十四、pikachuXSS
qq_55202378的博客
08-26 1250
pikachu XSS
Pikachu靶场:XSS过滤
witwitwiter的博客
04-17 991
Pikachu靶场:XSS过滤 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 0,前端限制绕过,直接抓包重放,或者修改html前端代码 1,大小写,比如: <SCRIPT>aLeRT(111)</sCRIpt> 2,拼凑: <scri<script>pt>alert(111)</scri</script>pt> 3,使用注释进行干扰: <scri<!--test-->p
Pikachu xsshtmlspecialchars
SS_liang的博客
01-07 569
是一个 PHP 函数,用于将特殊字符转换为 HTML 实体,以防止跨站脚本攻击(XSS)。它将 HTML 中的一些特殊字符转换为对应的 HTML 实体,这样浏览器会将它们作为文本而不是 HTML 代码来解析。这有助于防止用户输入的恶意脚本被执行。主要用途包括在显示用户输入的文本时,确保用户输入不会被解释为 HTMLJavaScript 代码,从而防止 XSS 攻击。输入的内容被处理后被输出到input标签里的value属性值里面。前面的 ' 用来闭合herf里的 '然后点击就出现弹窗了。
pikachu靶场-XSS
braty_的博客
02-21 1850
这里是用get请求做了一个长度的限制,我们使用hackbar来进行传参,页面会弹出一个xss,证明存在xss漏洞,我们顺便讲一下 beef-xss工具。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。在输入框随便输入 11 ,F12 可以看见,11 被添加在了 标签里面(html的超链接标签)XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。
pikachuxss存储型漏洞
03-23
// 使用htmlspecialchars过滤输入 $comment = htmlspecialchars($_POST['comment'], ENT_QUOTES, 'UTF-8'); // 或使用正则表达式过滤标签 $comment = preg_replace('/[^>]*>(.*?)<\/script>/is', '', $_POST['...
pikachuxss钓鱼弹出的页面反复弹出
03-23
如果部署了WAF(Web Application Firewall),但发现其未能完全阻断特定Payload,则需调整或增加相应的过滤规则来应对新的威胁向量[^3]。例如针对已知能绕过的payload进行特征匹配,并及时更新签名库至最新版本。 ...
pikachu平台xss漏洞详解
m0_74786138的博客
11-26 3307
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
PikachuXSS
weixin_48621644的博客
10-14 3387
小羊学安全 任重而道远~
Pikachu靶场:XSShtmlspecialchars、href输出以及js输出
witwitwiter的博客
04-17 2691
Pikachu靶场:XSShtmlspecialchars、href输出以及js输出 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 htmlspecialchars()函数把预定义的字符转换为HTML 实体。 预定义的字符是: &(和号)成为&amp ”(双引号)成为&quot '(单引号)成为&#039 ‘’< ‘’(小于)成为&lt ‘’> ‘’(大于)成为 &gt 可用的引号类型︰ ENT_CO
【CTF Web】Pikachu 反射型xss(get) Writeup(反射型XSS+GET请求)
HEX9CF的技术博客
09-28 816
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
pikachu xss系列漏洞实战之盲打、过滤htmlspecialchars、herf输出、js输出
永不垂头的博客
08-08 626
pikachu xss系列漏洞实战之盲打、过滤htmlspecialchars、herf输出、js输出 pikachu xss系列漏洞实战 首先搭建一下后台,需要连接数据库数据库 xss盲打 前端数据交互的地方,输入信息,输入后的结果不在前端显示,也就是 只有后台能看到输入的内容,从前端无法判断是否存在XSS,这种情况下,我们直接往里面插入XSS代码,然后等待 输入信息后: 输入 <script>alert(‘gxy’)</script> 222 登录后台查看
pikachu靶场第十一关——XSS(跨站脚本)之xss过滤(附代码审计)
03-22 703
例如,模式 `a.*b` 会匹配以 `a` 开头,以 `b` 结尾的最长的字符串,即使 `a` 和 `b` 之间有其他字符。等同于cmd,shell扫描一遍命令行,发现了( c m d ) 结 构 , 便 将 (cmd)结构,便将(cmd)结构,便将(cmd)中的cmd执行一次,得到其标准输出,再将此输出放到原来命令。,这是为了为匹配被尖括号包围的单词"script",但(.*)意味着它会匹配任何位于"s"、"c"、"r"、"i"、"p"和"t"字母之间的字符,而后被替换为空格,以达到破坏标签结构的作用。
Pikachu靶场:XSS系列】xss过滤xsshtmlspecialcharsxss之herf输出,xss之js输出通关啦
m0_47484034的博客
11-05 738
Pikachu靶场:XSS系列】xss过滤xsshtmlspecialcharsxss之herf输出,xss之js输出通关啦
皮卡丘xsshtmlspecialcharsxss之href输出、xss之js输出
Fly_Mojito的博客
05-30 1230
皮卡丘xsshtmlspecialcharsxss之href输出、xss之js输出
pikachu靶场通关笔记12 XSS关卡08-XSShtmlspecialchars(四种方法渗透)
mooyuan的网络安全博客
06-03 1458
本系列为通过《pikachu靶场通关笔记》的XSS关卡(共10关)渗透集合,通过对XSS关卡源码的代码审计找到安全风险的真实原因,讲解XSS的原理并进行渗透实践,本文为XSS第08关卡XSShtmlspecialchars关卡的渗透部分。
Pikachu-XSS
baynk的博客
11-18 2192
0x00 XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。 XSS是一种发生在前端浏览器端的漏洞,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值