XSS绕过单引号限制

最新推荐文章于 2025-07-11 16:14:39 发布
原创 最新推荐文章于 2025-07-11 16:14:39 发布 · 1w 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #绕过

作者在某视频网站发现可通过发送get请求进行iframe连接的网页,尝试利用js伪代码制造XSS,获取cookie。但网站对引号转义、截断HTML实体编码。作者通过将代码字符转成ASCII码再转回字符,绕过引号限制,最后处理URL中+号编码问题,成功实现XSS注入获取cookie。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

某视频网站,我在随处逛逛后发现了一个通过发送get请求来进行iframe连接的网页

有iframe。第一个想到的就是通过js伪代码来制造xss

所以我就简单写了一个alert

可以成功执行。没有过滤javascript:。那么我们尝试获取cookie。

也可以。并没有做过滤。那我们稍微修改一下。让cookie发到我的服务器不就可以盗取用户凭据了吗。

简单的写了个发送cookie的js代码

接收端代码

设置header 404就可以在执行完后返回404 NOT FOUND的报错。也许可以伪装一下恶意服务器。

 

直接贴入js代码。发现报错了。。

查看代码。发现转义了引号

虽然转义了引号。在javascript伪代码中。由于是在html里的。所以可以使用html实体编码来进行绕过啊。

将引号进行html实体编码

运行。还是报错。。。

查看源码。发现该网站遇到html实体编码就直接截断了

 

对比一下看得更直观

 

 

转义了引号。html实体编码也被截断了。。。那这还怎么玩呢。。。

 

不要慌。毕竟这个网站过滤还是不够充分。不能用引号。意味着不能使用字符串。但是没说不能使用数字啊。之前测试注入点的时候不就是用数字1来alert的吗

 

所以产生了一个大胆的想法:先将代码字符转成ascii码。然后再一个个用函数转回字符。最后使用eval函数将其执行。

首先确认一下eval是否被过滤了。

由此推断。eval大概率没有被过滤。

接着构建我们的payload。

js中字符转ascii码的函数为

charCodeAt()

 

将js代码按字符转成ascii码:由于很长。就写个js来跑吧

 

 

转成ascii码后。我们再将其转回字符。这样子在输入的时候就没有单引号。就不会受单引号转义的限制。

js ascii码转字符的函数:

String.fromCharCode()

 

由于太多ascii码了。就写个简单的js来帮我们拼接下字符串吧。。。

 

生成了。。好长一坨

 

丢进url。尝试XSS注入

 

发现一个报错

查看源码。发现+号变成了空格

这是因为在url中。+号被解析成空格了。要是想要用原本的+号就要用url编码即可。

重新将payload换成url编码。如下

就是将+号换成其对应的url编码 %2b。

 

丢入url中进行xss注入。成功获取cookie

安全测试之XSS绕过姿势总结
LYX_WIN
06-15 551
xss test
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1937
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
XSS绕过技巧总结
weixin_51802382的博客
10-22 2479
XSS绕过技巧 作者:白泽Sec安全实验室 前言 XSS是Web应用程序中常见的漏洞之一,网站管理员可以通过用户输入过滤、根据上下文转换输出数据、正确使用DOM、强制执行跨源资源共享(CORS)策略以及其他的安全策略来规避XSS漏洞。尽管现在有很多预防XSS攻击的技术,但Web应用程序防火墙(WAF)或自定义数据过滤器是目前使用比较广泛的安全保护技术了,很多厂商都会利用这些技术来抵御新型的XSS攻击向量 有些时候,通用的绕过技巧并不可行,这个时候我们就得观察缺陷点的周围环境,想想其它办法咯。“猥琐绕过”与通
xss防护绕过方法
最新发布
rasssel的博客
07-11 1099
Payload技术类型优势常见用途绕过能力最基础脚本注入简单、直观用于初步测试 XSS 是否存在易被过滤利用事件触发兼容性强输入框、HTML属性中注入绕过<script>过滤非主流标签 + 属性HTML5 支持好可混淆绕过高级防护绕过技巧URL 中不能直接包含某些字符(如空格、中文、原字符URL 编码示例%3C<script>→%3E%2F/script→%2Fscript如果服务器未对 URL 编码内容进行检测,就会被绕过
【复习】XSS_03_绕过技巧
qq_45300786的博客
05-22 815
xss绕过技巧 1、大小写绕过 http://target_sys.com/xss/xss04.php?name=<Script>alert(1);</Script> 2、属性多余 http://target_sys.com/xss/xss05.php?name=<script<script>>alert(1);</sc</script>ript> 3、转换标签 http://target_sys.com/xss/xss06.php?
xss绕过
weixin_51692662的博客
08-19 2789
xss绕过
浅谈XSS攻击的那些事(附常用绕过姿势)
qq_42801460的博客
03-29 1695
有的时候,服务器往往会对代码中的关键字(如alert)进行过滤,这个时候我们可以尝试将关键字进行编码后再插入,不过直接显示编码是不能被浏览器执行的,我们可以用另一个语句eval()来实现。由于盗取的cookie需要传回给攻击者,因此往往需要一个服务器来接收盗取的cookie,这也就是xss平台的作用了。也就是攻击相对于访问者而言是一次性的,具体表现在我们把我们的恶意脚本通过url的方式传递给了服务器,而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本。
第十五天DOM型xss和编码绕过问题
代码审计
03-21 2045
DOM型xss 对象模型(Document Object Model),即大名鼎鼎的DOM。 DOM可以被认为是一种通过将页面元素以对象的树形方式表现,以便由Javascript组织处理的实现方法。 特点2 无需服务器参与 为什么右键查看源代码 无法找到插入的payload 源代码 来源于服务器的返回 而dom型xss无需服务器的参与 所以此时无法修改右键查看的源代码 DOM XSS与反射型XSS和存储型XSS的差别是在于DOM XSS的代码不需要服务器解析响应的直接参与,触发XSS漏洞靠
XSS过滤绕过手法与加载payload
NZXHJ的博客
07-29 2147
关于各类XSS注入过滤的绕过手法,以及利用XSS平台加载注入payload讲解
XSS绕过和防御
发哥微课堂
04-21 1466
0x00:简介 最近在整理 TOP10 的审计点,上篇文章介绍了 A3XSS 问题,这里的 TOP10 是以 2013 的来记录的,对于 XSS 因为篇幅原因上篇只记录了一些示例代码,这篇顺便补充一下 XSS绕过和防御。 0x01:绕过 XSS 绕过方法很多,涉及到的面也非常广泛,我们这里只记录常见的一些绕过方式。 1,最基本的就是利用 <> 来写入 html 和 js 代...
XSS bypass
Fly_鹏程万里
12-18 1246
前言 在开始之前,我们先说一说XSS漏洞挖掘思路流程: 思路流程: 1、查找输入点与输出点的位置:      输入点好找,一般都是URL当中的参数,或者表单内容项等,而输出点一般有以下常见的几种情形: 输出在标签之间,例如:&lt;script&gt;输出&lt;/script&gt; 输出在属性之中,例如:&lt;input value="输出" name="keyword"&gt; ...
xssbypass_XSS绕过学习
weixin_39573781的博客
01-13 421
1,绕过单引号我们假设管理员在我们的单引号之前放置了一个“\”,有时候双引号之前也会放置,通过一些类似add_slashes的函数可以实现,这个就是转义字符,我们先前的代码就会变成这样:alert(\"XSS\")'>有一些方法可以继续,但是要看过滤的那个函数是怎么放的了。其中一个方法就是使用字符实体,学过html的都知道,就是一些特殊字符会用一些固有的符号组合来表示,举个例子,你不...
XSS 绕过指南
weixin_51681694的博客
04-22 1805
因为各种原因,在此总结一下网络上的绕过方法以及个人的经验,会不断更新,若有错误请私信
【网络安全 --- XSS绕过xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧
m0_67844671的博客
10-18 2059
【网络安全 --- XSS绕过xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧;你知道xss如何绕过吗?本篇讲述了一些xss常见的绕过手法及技巧,包括双写,大小写绕过,编码绕过等,过来看看吧
XSS绕过总结
热门推荐
qq_42990434的博客
05-29 1万+
有时候明明有一个xss漏洞,但是却有xss过滤规则或者WAF保护导致我们不能成功的利用,这些会屏蔽掉我们的代码,会导致我们执行完代码之后什么反应都没有,这时候我们可以审查一下元素,看看我们的代码有没有替换为空,或者替换成其他东西,或者那些符号被过滤掉了。 比如:我们输入<script> alert(“hi”) </scrip>, 会被转换成<script> alert(>xss detected<) </scrip>,这样的话我们的js语句就不生效
基于xss-lab的绕过
weixin_74761057的博客
12-17 1364
绕过:闭合。
xss漏洞挖掘与绕过学习总结
qq_40529133的博客
04-16 2386
xss漏洞普遍存在于数据交互的地方,像常见的登录,搜索,留言,评论等用户可以输入的地方。 挖掘xss大体上可以分为两种: 一,手动挖掘 二,利用工具自动化挖掘 一,手工挖掘 利用火狐中常见的XSS 调试插件: Hackbar; Firebar; Tamper Data; (1)Hackbar:比较常用的测试插件,支持post,get两种请求方式。 (1),可以对我们的字符串进行编码:像常见的&lt...
XSS 绕过常用语句
Mr.Huang_的博客
09-16 4316
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用的 XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签里 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
xss绕过waf
03-25
<think>好的,用户想了解如何通过XSS漏洞绕过WAF防护机制。首先,我需要回忆一下相关的知识,确保信息准确。根据提供的引用内容,绕过WAF的方法主要有提交方式绕过、混淆伪装、编码转换、利用协议特性等。 用户可能对WAF的工作原理不太清楚,可能需要简单解释一下WAF如何检测恶意输入,比如基于正则表达式或规则库。然后,分点说明不同的绕过技术,每个方法都需要具体的例子,比如在提交方式绕过中,提到GET和POST的区别,或者如何在Cookie中注入。 要注意避免提供可用于实际攻击的详细代码,保持讨论在理论层面。同时,强调这些方法仅用于学习,并提醒遵守法律。可能需要检查引用内容中的例子是否正确,例如混淆伪装的例子是否有误,比如使用<img/src=1 onerror=alert(1)>这样的变体来绕过过滤。 另外,引用中的资料提到的一些方法,比如大小写混淆、标签属性分割,这些都需要具体说明。同时,注意不同WAF可能有不同的规则,所以绕过方法可能因情况而异。 最后,用户可能需要防御建议,所以需要补充如何防范这些绕过手段,比如输入验证、输出编码、CSP等。确保回答结构清晰,分点列出绕过方法和防御措施,并正确引用来源。</think>### 如何绕过WAF实现XSS攻击? #### 一、WAF的检测机制与绕过原理 WAF通常通过正则表达式匹配、关键字过滤或行为分析来拦截XSS攻击载荷。绕过核心在于**混淆恶意代码**或**利用检测逻辑漏洞**,例如: 1. **语法拆分**:如`<scr<script>ipt>`可绕过简单关键字过滤[^3] 2. **编码转换**:使用HTML实体编码、Unicode转义等,如`< → \u003c` 3. **协议混淆**:利用JavaScript伪协议`javascript:alert(1)`的变体 #### 二、具体绕过方法 1. **提交方式绕过** - 将恶意载荷从GET请求改为POST请求或HTTP头部(如Referer) - 示例:通过修改Cookie值注入`Cookie: name=<script>alert(1)</script>`[^1] 2. **标签属性混淆** ```html <img/src="x"onerror=alert(1)> <!-- 省略空格和引号 --> <svg/onload=alert`1`> <!-- 使用反引号 --> ``` 3. **编码嵌套技术** ```javascript // 多重URL编码 %253Cscript%253Ealert(1)%253C/script%253E // Base64解码注入 <iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="> ``` 4. **利用JavaScript语法特性** ```javascript // 字符串拼接 window['al'+'ert'](1) // Unicode编码 \u0061\u006c\u0065\u0072\u0074(1) ``` 5. **WAF规则库盲区利用** - 使用冷门HTML标签:`<details open ontoggle=alert(1)>` - 新浏览器API:`<audio src=1 onratechange=eval(`alert(1)`)>`[^2] #### 三、防御建议 1. **输入验证**:白名单校验数据类型(如仅允许数字) 2. **输出编码**:根据上下文使用HTML/URL/JavaScript编码 3. **CSP策略**:通过`Content-Security-Policy`限制脚本来源 4. **WAF规则优化**:使用语义分析而非单纯正则匹配
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值