鬼/CSS里头的XSS攻击点

最新推荐文章于 2025-09-13 15:54:17 发布

转载最新推荐文章于 2025-09-13 15:54:17 发布 · 1k 阅读

文章标签：

#javascript #css #html #测试 #url #ie

xss 专栏收录该内容

0 篇文章

订阅专栏

本文探讨了CSS中的XSS攻击点，并以IE浏览器为例，详细介绍了两种主要的攻击方式。同时分析了HTML中设定CSS的多种方式，并以Plurk源码为例进行说明。

CSS里头的XSS攻击点，可以参考RSnake的XSS Cheat Sheet；以IE(<=7)为例，主要可说有两种：

1. CSS 内可造成javascript 执行，范例如：

背景图片：URL（“JavaScript的：警报（'XSS'）”）;}

2。 CSS的内利用长期造成的JavaScript执行，范例如

背景图片：表达（警报（“XSS”））;}

（一范围的情况下）

我们来分析一下要如何做攻击测试。Html中有很多方式可以设定css；可以是后端程式产生，写死在HTML 里，可以是前端javascript 以document.write()方式动态产生，也可以是前端javascript以动态建构出新的DOM 元素（ element）来产生。看一下Plurk的源码，可以发现产生方式如下：

=（“链接”）; 
B.setAttribute（“相对”，“样式表”）; 
B.setAttribute（“类型”，“文本/ CSS”）; 
document.getElementsByTagName（“头”）[0] appendChild（）;

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

wedojava

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

精选资源

XSS攻击常识及常见的XSS攻击脚本汇总.pdf

12-26

XSS攻击常识及常见的XSS攻击脚本汇总

关于pdf文件xss攻击问题，配置xssFilter方法

12-21

PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档，利用其中的脚本语言功能，尝试在用户的浏览器上执行跨站脚本攻击（XSS）。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...

参与评论您还未登录，请先登录后发表或查看评论

关于 XSS攻击

Shawn Jeon`s blog

11-29

577

XSS攻击是什么简介攻击原理例子防御方法简介 XSS(Cross Site Scripting, 跨站脚本攻击)又称是 CSS, 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等攻击原理比较常见的方式是利用未做好过滤的参数传入一些脚本语言代码块通常是 JavaScript, PHP, Java, ...

XSS challenges闯关笔记

south_layout的博客

05-07

1082

stage-1 没有过滤的XSS 很简单，闭合b标签注入payload即可。 payload: 123qwe"</b><script>alert(document.domain)</script> stage-2 标签属性中的XSS 与stage-1没有区别，闭合标签即可。 payload: 123qwe"><script>alert(d...

常用的XSS漏洞防御手段，看这一篇文章就够了！

最新发布

Cairo_A的博客

09-13

992

XSS全称跨站脚本(Cross Site Scripting)，为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能，在HTML页面里嵌入恶意代码。当用户浏览改页时，这些潜入在HTML中的恶意代码会被执行，用户浏览器被攻击者控制，从而达到攻击者的特殊目的，如 cookie窃取等。

信息安全-攻击-XSS：XSS/CSS 攻击

weixin_30273763的博客

08-19

459

ylbtech-信息安全-攻击-XSS：XSS/CSS 攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得...

Web安全之跨站脚本攻击（XSS）

javagty6778的博客

02-22

282

跨站脚本攻击，英文全称是 Cross Site Script，本来缩写是CSS，但是为了和层叠样式表（Cascading Style Sheet，CSS）有所区别，所以在安全领域叫做“XSS”。XSS 攻击，通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，从而通过“HTML注入”篡改了网页，插入了恶意的脚本，然后在用户浏览网页时，控制用户浏览器（盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害）的一种攻击方式。

反射/存储/DOM型XSS攻击原理及攻击流程详解

G3et的博客

01-02

2404

XSS（跨站脚本攻击）是一种常见的 Web 安全漏洞，其允许攻击者在恶意用户的浏览器中执行脚本。这可能导致数据泄露、控制用户浏览器或执行其他恶意操作。 XSS 攻击通常利用网页的客户端代码（通常是 HTML 或 JavaScript）来执行。攻击者可能会向网页中插入恶意的 HTML 元素或 JavaScript 代码，试图欺骗浏览器执行攻击者的脚本。

第十四节 IE中利用CSS触发XSS-01

09-15

在IE浏览器中，CSS可以用来触发XSS攻击。本节课程将介绍如何使用CSS来触发XSS。 CSS介绍 CSS（Cascading Style Sheets）是一种用来表现HTML或XML文件样式的计算机语言。CSS不仅可以静态地修饰网页，还可以配合各种...

24_XSS跨站脚本攻击-学习与测试/Beef工具使用/Beef-xss攻击实战

weixin_54591045的博客

08-05

859

Cross-Site Scripting 简称为“CSS”，为避免与前端叠成样式表的缩写"CSS"冲突，故又称XSS。一般XSS可以分为如下几种常见类型：1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞，在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞，所以其危害的对象也是前端用户。

xss根据白名单过滤HTML防止XSS攻击

08-12

xss是一个用于对用户输入的内容进行过滤，以避免遭受XSS攻击的模块（什么是XSS攻击？）。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、格式控制相关的HTML的场景，xss模块通过白名单来控制允许的标签及相关的标签属性。

利用CSS特性绕过XSS过滤

一米八多的瑞兹的博客

03-07

619

利用CSS特性绕过XSS过滤 1. XSS漏洞发现构造特殊无害字符串，响应中寻找字符串。 2. 基本XSS利用 1、HTML事件触发XSS 2、闭合input，利用外部标签触发XSS 3. XSS特性讲解 background:url(“javascript:alert(document.domain);”); 设置背景颜色设置background:url ，利用javascript伪协议执行js。目前IE浏览器支持，其他浏览器已经不再支持。 4. Payload触发XSS Payload:

这一次，彻底理解XSS攻击

qq_42801460的博客

03-29

384

防范 XSS 是不只是服务端的任务，需要后端和前端共同参与的系统工程。虽然很难通过技术手段完全避免XSS，但我们原则上减少漏洞的产生。

【css】定位

jkpazhang的博客

09-02

158

一、定位组成定位：将盒子定在某一个位置，所以定位也是在摆放盒子，按照定位的方式移动盒子。定位 = 定位模式 + 边偏移定位模式用于指定一个元素在文档中的定位方式。边偏移（有 top、bottom、left 和 right 4 个属性）则决定了该元素的最终位置。二、定位模式静态定位 static 静态定位是元素的默认定位方式，无定位的意思相对定位 relative（重要）相对定位是元素在移动位置的时候，是相对于它原来的位置来说的（自恋型）。相对定位的特点： a. 它是相对于自己原来的

【XSS漏洞-03】XSS漏洞语句构造和绕过方法实例

m0_64378913的博客

05-14

4827

目录1 XSS语句构造方式1.1 第一种：利用[<>]构造HTML/JS语句1.2 第二种：利用javascript:伪协议1.3 第三种：事件驱动1.4 第四种：利用CSS（层叠样式脚本）1.5 其他标签及手法2 XSS语句变形及绕过2.1 第一种：大小写混编2.2 第二种：**双写绕过**。2.3 第三种：**引号的使用**2.4 第四种：使用 [/] 代替空格2.5 第五种：在一些关键字内插入回车符与Tab符2.6 第六种：编码绕过2.7 第七种：拆分跨站2.8

XSS又叫 CSS (Cross-Site Script) ,跨站脚本攻击

我有一个魔盒的博客

10-28

984

大意：通过向网站提交javascript脚本，从而在查看提交的内容页面执行javascript脚本解决办法： PHP htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。将提交上来的内容转成HTML实体，从而避免被识别为script脚本。攻击示例：客户端攻击（url地址后加入script代码）浏览器访问：http://www.think.bios/index.php/test2/<script>alert('hello')</script&g

Stage #14 XSS注入：利用CSS内联注释突破防御

weixin_43822401的博客

06-05

647

在Web安全的世界里，跨站脚本攻击（XSS）是一种经久不衰的攻击手段。随着Web应用对XSS的防御越来越强，攻击者必须更加巧妙地寻找新的注入途径。本文将探讨一种利用CSS层叠样式表中的内联注释进行XSS注入的技术。

xss css,XSS CSS

weixin_33132251的博客

08-04

661

Cross-Site Scripting: DOMABSTRACT向 Web 浏览器发送非法数据会导致浏览器执行恶意代码。EXPLANATIONCross-Site Scripting (XSS) 漏洞在以下情况下发生：1. 数据通过一个不可信赖的数据源进入 Web 应用程序。对于基于 DOM 的 XSS，将从 URL参数或浏览器中的其他值读取数据，并使用客户端代码将其重新写入该页面。对于 Ref...

IE中CSS触发XSS攻击：技巧与绕过

在本节中，我们将深入探讨在IE浏览器中利用CSS进行跨站脚本攻击(XSS，Cross-Site Scripting)的第十四节内容。首先，让我们回顾一下CSS（层叠样式表）的基本概念。CSS是一种用于描述网页外观和布局的语言，它允许...