xss检测和绕过方法

最新推荐文章于 2025-02-28 15:20:33 发布
原创 最新推荐文章于 2025-02-28 15:20:33 发布 · 7.2k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #web漏洞

本文详细介绍了XSS跨站脚本攻击的测试步骤,包括如何输入特殊字符串进行监控,避开过滤测试,以及在HTTP消息头中寻找漏洞。同时,文章提供了多种XSS攻击字符串实例和绕过净化的方法,如利用JavaScript事件处理器、URL特性以及String.fromCharCode技巧来规避防御机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

xss
测试步骤:
1、输入一个几乎不出现的字符串在应用程序中,以其作为每个页面的每一个参数,且每次只针对一个参数,
监控程序响应,看是否出现同样字符串,然后替换字符串为脚本,在进行测试。
2、进行避开过滤测试。
3、post发现xss,要用burp的get同样继续测试.
4、对http消息头进行测试。

实例(如输入myxsstest),进行这些测试时必须对任何特殊字符如&,=+;和空格进行url编码:
1、验证性测试攻击字符串:"><script>alert(document.cookie)</script>,可以用于实现自动化
2、终止包含字符串的双引号,结束之前的html标签,然后通过其他方法引入js脚本,如:
"><script>alert(1)</script>
3、为避开过滤,在该html标签中包含js事件处理器,如标签为<input type="text" name="addr" value="myxsstest">:
" οnfοcus="alert(1)
4、当受控字符串被插入到现有的脚本中,可以终止字符串周围的单引号,用一个分号终止整个语句,然后后直接处理想要执行的js,如:
返回相应是:<script> var a = 'myxsstest' ; var b = 123,...</script>
替换myxsstest为 :';alert(1); var foo=',需要保证脚本正常,另一种方法是使用//结束输入,将剩下的脚本当做注释处理。
5、包含url特性,如返回<a href="myxsstest">click here</a>,这是受控字符串被插入到一个<a>标签的href中,在一些
浏览器中,这个属性可能包含javascript:协议的url,从而使用以下脚本直接利用xss:
javascript:alert(1),也可以注入一个事件管理器:
#" οnclick="javascript:alert(1)

最低0.47元/天 解锁文章

200万优质内容无限畅学
XSS攻击绕过方法以及绕过waf方法语句大全 XSS攻击语句这一篇足够
浩策盾悟
12-31 1万+
1. 使用HTML实体编码 2. 大小写混合 3. 利用JavaScript事件 4. 利用URL编码 5. 使用不完整的HTML标签 6. 利用编码绕过 7. 使用不寻常的标签 8. 利用CDATA 9. 利用注释 10. 使用文档对象模型(DOM) 11. 利用HTML5功能 12. 使用特殊字符 13. 利用外部脚本 14. 使用IFrame 15. 利用CSS注入 16. 使用数据URI 17. 利用SVG 18. 使用Base64编码 19. 利用JavaScr
xss防护绕过方法
最新发布
rasssel的博客
07-11 1105
Payload技术类型优势常见用途绕过能力最基础脚本注入简单、直观用于初步测试 XSS 是否存在易被过滤利用事件触发兼容性强输入框、HTML属性中注入绕过<script>过滤非主流标签 + 属性HTML5 支持好可混淆绕过高级防护绕过技巧URL 中不能直接包含某些字符(如空格、中文、原字符URL 编码示例%3C<script>→%3E%2F/script→%2Fscript如果服务器未对 URL 编码内容进行检测,就会被绕过
XSS攻击的简单过滤绕过
caoxinjian423的博客
09-02 3558
一、常见的XSS攻击脚本 弹窗警告 <script>alert('XSS')</script> <script>alert(document.cookie)</script> 页面嵌套 <iframe> src=http://www.baidu.comwidth=10 height=10 border=10 </iframe> 重定向 <script>window.location="http://www.b.
xss绕过
weixin_51692662的博客
08-19 2789
xss绕过
xss攻击、绕过最全总结,从零基础到精通,收藏这篇就够了!
yy1715713348的博客
02-28 1000
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。有的waf可能是用正则表达式去检测是否xss攻击,如果我们能fuzz出正则的规则,则我们就可以使用其它字符去混淆我们注入的代码了。感觉总结的不是很全面,以后会查漏补缺,如果有师傅发现错误之处,还望斧正。的事情了,而工作绕不开的就是。
XSS 攻击的检测修复方法
Java徐师兄的博客
07-13 4268
XSS 攻击是一种常见危险的 Web 攻击,开发者需要对输入数据进行过滤转义,使用安全的编程语言框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML PHP 标签 $data = strip_tags($data);
XSS攻击绕过过滤方法大全(转)
热门推荐
mingyqf的博客
04-20 2万+
XSS攻击绕过过滤方法大全(约100种) 虽然说很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS注入。 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录,现在此XSS备忘录将由OWASP维护完善它。 OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Cheat She
XSSBypass:XSS绕过技术
05-17
4. **XSS检测与防护** - 输入验证:对用户提交的所有数据进行严格的检查,确保没有注入的脚本。 - 输出转义:对所有输出到页面的内容进行转义处理,确保不会执行任何代码。 - 使用HTTP头部的Content-Security-...
第十二节 XSS 过滤器绕过-01
09-15
然而,攻击者可以使用绕过技术来规避 XSS 过滤器的检测,从而实现攻击目的。 本文将讲解 XSS 过滤器绕过技术的四个方面:本地搭建环境、XSS payload 测试、自动化工具测试关注最新 HTML 等内容。 本地搭建环境 ...
记录几种XSS绕过方式1
08-03
XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者...了解并防御这些XSS绕过方法对于网站安全至关重要,开发者应当定期更新强化过滤规则,同时进行安全审计,确保网站对XSS攻击有足够的防护能力。
xss绕过思路
W小哥
04-13 2638
1、前端限制绕过(比如:JS),直接抓包改包重放,或者修改html前端代码 2、大小写绕过,比如:pt> 4、使用注释进行干扰:<script>alert(/xss/)</script> 后台过滤了特殊字符,比如 ...
XSS测试
酷狗直播-锦凡歆的博客
05-23 571
跨站脚本漏洞Web应用程序在将数据输出到网页的时候存在问题,导致恶意攻击者 可以往Web页面里插入恶意JavaScript、HTML代码,并将构造的恶意数据显示在页面的漏 洞中。攻击者一般利用此漏洞窃取或操纵客户会话 Cookie,用于模仿合法用户,从而 使攻击者以该用户身份查看或变更用户记录以及执行事务。 跨站一般情况下主要分为存储型跨站、反射型跨站、DOM型跨站。存储型跨站脚本...
xss绕过方式
weixin_55821558的博客
03-18 9163
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.xss的类型以及常用标签 二.xss常用绕过 总结 前言 xss(cross-site-scripting)中文:跨站脚本攻击 常年位于owasp top ten,可见他的地位。 基于javascript完成恶意攻击,javascript使用灵活 他可控制网页的行为 操作html、css、浏览器,所以他的危害性特别大,了解并学习xss原理对于防范xss攻击意义重大。 提示:以下...
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 1万+
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞检测指南。
XSS绕过技巧
weixin_52501704的博客
02-10 5034
XSS绕过技巧
简单的xss检测
日渐机智的博客
12-09 1321
简单的xss检测 创建xss检测工具类XssUtil public class XssUtil { private static final Logger logger = LoggerFactory.getLogger(XssUtil.class); private static List<Pattern> patterns = null; /** * @return */ private static List<Object[]
【网络安全 --- XSS绕过xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧
m0_67844671的博客
10-18 2059
【网络安全 --- XSS绕过xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧;你知道xss如何绕过吗?本篇讲述了一些xss常见的绕过手法及技巧,包括双写,大小写绕过,编码绕过等,过来看看吧
XSS绕过总结
qq_42990434的博客
05-29 1万+
有时候明明有一个xss漏洞,但是却有xss过滤规则或者WAF保护导致我们不能成功的利用,这些会屏蔽掉我们的代码,会导致我们执行完代码之后什么反应都没有,这时候我们可以审查一下元素,看看我们的代码有没有替换为空,或者替换成其他东西,或者那些符号被过滤掉了。 比如:我们输入<script> alert(“hi”) </scrip>, 会被转换成<script> alert(>xss detected<) </scrip>,这样的话我们的js语句就不生效
XSS攻击指南:绕过策略与检测方法
XSS Filter Evasion Cheat Sheet 是一个实用的工具,它列出了多种用于检测绕过网站XSS防护的技巧。以下是一些关键的XSS攻击向量: 1. **基础XSS探测**: - 常见的探测字符串如 `';alert(String.fromCharCode(88,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值