pikachuxss之过滤、htmlspecialchars

原创 已于 2022-09-13 11:53:10 修改 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #前端 #javascript

于 2022-09-12 20:25:09 首次发布
本文探讨了XSS跨站脚本攻击的过滤机制,通过实例展示了如何利用大小写绕过、htmlspecialchars函数的局限性进行XSS攻击。同时,提到了浏览器对JavaScript注入的响应,以及如何构造有效payload来规避过滤。文章最后总结了XSS常见的绕过手法,对于理解Web安全和提升防护能力具有指导意义。

pikachu

xss之过滤

xss过滤就是提交上来的数据中的敏感词汇直接过滤掉,如

尝试了许多的命令如:

插入script:<scr<script>ipt>alert("XSS")</scr<script>ipt>
结果出现:别说这些’>'的话,不要怕,就是干!

加入href超链接:<a href="javascript:alert(1)">XSS Test</a>
出现:别说这些’'的话,不要怕,就是干!

下面是尝试:

image-20220912181311749

都没有成功,但是我忘了最常见的大小写绕过:<ScrIpt>alert("XSS")</scRiPt>结果就出现了:

image-20220912181556805

查看了源码才发现,仅仅是对<script进行过滤:
image-20220912181708804

随后可以任意进行插入命令如:<button onclick="alert('xss')">点我</button>
显示:image-20220912182024242

大佬总结

(2条消息) XSS常见的绕过手法_Redredredfish的博客-优快云博客_xss绕过

xss之htmlspecialchars

**htmlspecialchars() 函数:**把预定义的字符 “<” (小于)和 “>” (大于)转换为 HTML 实体,把 < 和 > 转换为实体常用于防止浏览器将其用作 HTML 元素。

该函数默认不过滤单引号,只有设置才可以过滤单引号;

学习构造payload:'onclick='alert(111)' 出现:
image-20220912201834508

题外又发现了payload:javascript:alert(1) 出现:
image-20220912201958168
源码:
在这里插入图片描述

pikachu靶场第十二关——XSS(跨站脚本)之xsshtmlspecialchars(附代码审计)
03-22 1727
有些字符,像(<)这类的,对HTML(标准通用标记语言下的一个应用)来说是有特殊意义的,所以这些字符是不允许在文本中使用的。注释:在 PHP 5.4 之前的版本,无法被识别的字符集将被忽略并由 ISO-8859-1 替代。自 PHP 5.4 起,无法被识别的字符集将被忽略并由 UTF-8 替代。包含无效的编码,则返回一个空的字符串,除非设置了 ENT_IGNORE 或者 ENT_SUBSTITUTE 标志。布尔值,规定了是否编码已存在的 HTML 实体。一个规定了要使用的字符集的字符串。
pikachu靶场练习——XSS详解
qq_42176496的博客
09-04 3103
pikachu靶场 XSS详解
JavaScript防御XSS攻击的过滤技术实战
最新发布
weixin_42610010的博客
10-21 895
可通过escapeHtml配置项替换默认的转义函数,实现更严格的编码策略:此功能适用于需要符合特定合规标准(如SOC2、GDPR)的系统,确保输出始终处于“双重保护”状态。综上,js-xss不仅是一款实用工具,更是一套完整的安全工程解决方案。掌握其核心机制与配置技巧,是构建健壮Web应用不可或缺的能力。在现代Web应用安全体系中,内容过滤机制的核心之一是白名单控制策略。与黑名单相比,白名单通过明确允许特定标签和属性的方式,从根本上缩小了攻击面,提升了系统的可预测性与安全性。
十四、pikachuXSS
qq_55202378的博客
08-26 1249
pikachu XSS
Pikachu靶场:XSS过滤
witwitwiter的博客
04-17 990
Pikachu靶场:XSS过滤 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 0,前端限制绕过,直接抓包重放,或者修改html前端代码 1,大小写,比如: <SCRIPT>aLeRT(111)</sCRIpt> 2,拼凑: <scri<script>pt>alert(111)</scri</script>pt> 3,使用注释进行干扰: <scri<!--test-->p
Pikachu xsshtmlspecialchars
SS_liang的博客
01-07 568
是一个 PHP 函数,用于将特殊字符转换为 HTML 实体,以防止跨站脚本攻击(XSS)。它将 HTML 中的一些特殊字符转换为对应的 HTML 实体,这样浏览器会将它们作为文本而不是 HTML 代码来解析。这有助于防止用户输入的恶意脚本被执行。主要用途包括在显示用户输入的文本时,确保用户输入不会被解释为 HTMLJavaScript 代码,从而防止 XSS 攻击。输入的内容被处理后被输出到input标签里的value属性值里面。前面的 ' 用来闭合herf里的 '然后点击就出现弹窗了。
pikachu靶场-XSS
braty_的博客
02-21 1848
这里是用get请求做了一个长度的限制,我们使用hackbar来进行传参,页面会弹出一个xss,证明存在xss漏洞,我们顺便讲一下 beef-xss工具。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。在输入框随便输入 11 ,F12 可以看见,11 被添加在了 标签里面(html的超链接标签)XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。
pikachuxss存储型漏洞
03-23
// 使用htmlspecialchars过滤输入 $comment = htmlspecialchars($_POST['comment'], ENT_QUOTES, 'UTF-8'); // 或使用正则表达式过滤标签 $comment = preg_replace('/[^>]*>(.*?)<\/script>/is', '', $_POST['...
pikachuxss钓鱼弹出的页面反复弹出
03-23
如果部署了WAF(Web Application Firewall),但发现其未能完全阻断特定Payload,则需调整或增加相应的过滤规则来应对新的威胁向量[^3]。例如针对已知能绕过的payload进行特征匹配,并及时更新签名库至最新版本。 ...
pikachu平台xss漏洞详解
m0_74786138的博客
11-26 3302
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
PikachuXSS
weixin_48621644的博客
10-14 3385
小羊学安全 任重而道远~
Pikachu靶场:XSShtmlspecialchars、href输出以及js输出
witwitwiter的博客
04-17 2680
Pikachu靶场:XSShtmlspecialchars、href输出以及js输出 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 htmlspecialchars()函数把预定义的字符转换为HTML 实体。 预定义的字符是: &(和号)成为&amp ”(双引号)成为&quot '(单引号)成为&#039 ‘’< ‘’(小于)成为&lt ‘’> ‘’(大于)成为 &gt 可用的引号类型︰ ENT_CO
【CTF Web】Pikachu 反射型xss(get) Writeup(反射型XSS+GET请求)
HEX9CF的技术博客
09-28 815
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
pikachu xss系列漏洞实战之盲打、过滤htmlspecialchars、herf输出、js输出
永不垂头的博客
08-08 625
pikachu xss系列漏洞实战之盲打、过滤htmlspecialchars、herf输出、js输出 pikachu xss系列漏洞实战 首先搭建一下后台,需要连接数据库数据库 xss盲打 前端数据交互的地方,输入信息,输入后的结果不在前端显示,也就是 只有后台能看到输入的内容,从前端无法判断是否存在XSS,这种情况下,我们直接往里面插入XSS代码,然后等待 输入信息后: 输入 <script>alert(‘gxy’)</script> 222 登录后台查看
pikachu靶场第十一关——XSS(跨站脚本)之xss过滤(附代码审计)
03-22 694
例如,模式 `a.*b` 会匹配以 `a` 开头,以 `b` 结尾的最长的字符串,即使 `a` 和 `b` 之间有其他字符。等同于cmd,shell扫描一遍命令行,发现了( c m d ) 结 构 , 便 将 (cmd)结构,便将(cmd)结构,便将(cmd)中的cmd执行一次,得到其标准输出,再将此输出放到原来命令。,这是为了为匹配被尖括号包围的单词"script",但(.*)意味着它会匹配任何位于"s"、"c"、"r"、"i"、"p"和"t"字母之间的字符,而后被替换为空格,以达到破坏标签结构的作用。
Pikachu靶场:XSS系列】xss过滤xsshtmlspecialcharsxss之herf输出,xss之js输出通关啦
m0_47484034的博客
11-05 738
Pikachu靶场:XSS系列】xss过滤xsshtmlspecialcharsxss之herf输出,xss之js输出通关啦
皮卡丘xsshtmlspecialcharsxss之href输出、xss之js输出
Fly_Mojito的博客
05-30 1228
皮卡丘xsshtmlspecialcharsxss之href输出、xss之js输出
pikachu靶场通关笔记12 XSS关卡08-XSShtmlspecialchars(四种方法渗透)
mooyuan的网络安全博客
06-03 1452
本系列为通过《pikachu靶场通关笔记》的XSS关卡(共10关)渗透集合,通过对XSS关卡源码的代码审计找到安全风险的真实原因,讲解XSS的原理并进行渗透实践,本文为XSS第08关卡XSShtmlspecialchars关卡的渗透部分。
Pikachu-XSS
baynk的博客
11-18 2188
0x00 XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。 XSS是一种发生在前端浏览器端的漏洞,...
XSShtmlspecialchars
12-28
### 如何使用 `htmlspecialchars` 防止 XSS 攻击 为了有效防止跨站脚本攻击(XSS),在 PHP Web 应用程序中,`htmlspecialchars()` 是一种常用且有效的手段。该函数能够将特殊字符转换成 HTML 实体,从而避免恶意代码被执行。 #### 函数说明 `htmlspecialchars()` 可以把预定义的字符 "<" (小于号), ">" (大于号), "&" (和号) 以及双引号 ("") 转换成对应的 HTML 实体[^1]。 #### 参数解释 - **string**: 待转换的字符串。 - **flags** (可选): 表示应使用的额外标志位,默认为 `ENT_COMPAT | ENT_HTML401`。推荐设置为 `ENT_QUOTES` 来同时处理单引号和双引号。 - **encoding** (可选): 指定所采用的字符集编码方式,默认为 ISO-8859-1。建议显式声明 UTF-8 编码以确保兼容性。 - **double_encode** (可选): 如果设为 false,则不会重复编码已存在的实体;默认情况下会再次编码已经存在过的实体。 #### 示例代码 下面给出了一段完整的 PHP 代码片段,用于展示如何接收 GET 请求中的用户输入,并对其进行适当的安全处理后再显示出来: ```php <?php // 假设从 URL 查询参数获取用户提交的数据 $userInput = isset($_GET['input']) ? $_GET['input'] : ''; // 对潜在危险的 HTML 特殊字符进行转义 $safeOutput = htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8'); // 向浏览器发送经过安全处理后的响应内容 echo '<p>您输入的内容是:</p>'; echo "<div>" . $safeOutput . "</div>"; ?> ``` 这段代码首先检查是否存在名为 `input` 的查询参数,如果存在则将其赋值给 `$userInput` 变量。接着调用了 `htmlspecialchars()` 方法对可能含有恶意脚本的原始数据进行了过滤,最后才放心地将结果呈现给了访问者。 通过这种方式,在任何地方只要涉及到向客户端输出动态生成的内容时都应当考虑应用类似的防护措施,以此保障整个系统的安全性[^3]。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值