XSS过滤绕过

最新推荐文章于 2025-03-23 23:17:38 发布
最新推荐文章于 2025-03-23 23:17:38 发布
阅读量2.2k 收藏 4
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhz990224/article/details/79254265
版权
本文详细介绍了XSS过滤的多种绕过方法,包括脚本标签的伪协议利用、事件处理器的非交互式执行、标签名称大小写及空格绕过、HTML编码和URL解码的双重利用、字符集转换以及JavaScript中的Unicode转义和eval替代技术。对于Web安全和前端开发者来说,了解这些技巧至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XSS过滤的绕过

脚本标签

如果script被过滤的话,可以使用伪协议的方法:

<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==

其中PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==为base64编码的<script>alert(1)</script>

事件处理器

不需要用户交互的可执行js的事件处理器:

onreadystatechange(xml,style,iframe,object,img,input,isindex,bground)

onpropertychange

onbeforeactivate

onfocusin

onactivate

注意:在HTML5中,结束标签中也可以使用事件处理器

脚本伪协议

脚本伪协议可以用在各种位置,在需要URL的属性中执行行内脚本,如:

<object data=javascript:alert(1)>

标签名称

通过改变标签名称的大小写,可以避开最简单的过滤:

<iMg onerror=alert(1) src=a><

最低0.47元/天 解锁文章
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-13 764
XSS过滤简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 常用的XSS攻击手段和目的 1.盗用cookie,获取敏感信息。
xss绕过尖括号和双括号_记录一次有意思的XSS过滤绕过2
weixin_36211712的博客
12-23 2425
前几天在漏洞挖掘中遇到个xss,感觉绕过过程蛮有意思的,写篇文章记录下。接下里是我对这个xss详细的分析和绕过存在问题站点http://******/index/appInfo?appId=784&url=xss当我查看源代码搜索xss:一处输出点:继续搜索第二处输出点:两次输出,第一次输出是在input标签中,第二次是在js中,这里不考虑input中利用了。因为input的type为hi...
XSS下的绕过过滤方法
ECSHOP专属建设
04-09 709
很久没有写过文章了,今天写一篇小品文,仍然是关于XSS下的利用。 很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对,经过转换以后被转换掉,什么就会转换成“src=1.js>”,不能执行,因此,很多人认为只要用户的输入没有构成 但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS。 1. 转义字符 首先要认识一下“\”,这个不是斜杠么。对
XSS篇——XSS过滤绕过技巧
weixin_50464560的博客
05-07 3671
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
XSS 攻击向量与绕过技巧
最新发布
聚焦网络安全,以多元语言优势汲取知识,分享生动有趣的学习与技术心得。
03-23 971
跨站脚本攻击(XSS)是一种常见的 Web 漏洞,允许攻击者在受害者的浏览器中注入并执行恶意代码。以下是 XSS 攻击的完整总结,包括无过滤情况下的基础 Payload、存在过滤时的绕过技巧以及编码和混淆方法。通过上述总结可以看出,XSS 攻击的核心在于找到输入点并利用各种方式绕过过滤机制。XSS 是一个复杂但有趣的领域,既需要理论知识的支持,也离不开实践中的不断探索。希望本文能帮助你更好地理解 XSS 攻击及其防御方法!
XSS过滤绕过技巧
Javachichi的博客
03-23 756
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。
常见的绕过XSS过滤的方法
小白渣的博客
03-02 1万+
xss绕过过滤之方法 很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦<>被转换掉,什么就会转换成“<script src=1.js></script>”,不能执行,因此,很多人认为只要用户的...
9.XSS过滤
愿听风成曲
06-25 531
如下图所示,大小写混合被弹窗,被执行了。查看页面元素代码,被后台代码过滤了。如下图依然可以弹窗为“xss”通过输入代码发现被过滤掉了。
XSS过滤绕过手法与加载payload
NZXHJ的博客
07-29 2056
关于各类XSS注入过滤绕过手法,以及利用XSS平台加载注入payload讲解
17. XSS过滤绕过 [通用绕过]
→_→
05-21 605
作者:心伤的瘦子 来自:PKAV技术宅社区 网址:http://www.pkav.net -------------------------------------------------------------- 简要描述: 关于反射型的基本东西,暂时就到这啦,如果后面有什么好的case,再做增补。最近,有些人会问到怎么绕过浏览器的XSS过滤器,所以从这节开始,给出点绕过的例子。当然这些绕过浏览器的方法,不是万能的。不同浏览器,不同场景都会存在差异。满足场景要求时,才可以使用。 IE的一些绕过
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
白帽子佳奇的博客
12-12 6735
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
45. XSS篇——XSS过滤绕过技巧
热门推荐
Fly_鹏程万里
03-20 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
xss filter绕过技巧
Sp4rkW的博客
09-01 2541
首先提一句,绕过filter的技巧前提是其没有过滤完全 比如: &lt;div&gt; &lt;?php echo htmlspecialchars($_POST['xss']); ?&gt; &lt;/div&gt; 这种就根本没法操作了 看完《白帽子讲web安全》xss一篇,简单总结一些常用的可能存在的技巧: 转换大小写 大小写混写 双引号改...
渗透Tips之XSS过滤括号等号情况下cookie的获取
weixin_30408165的博客
08-12 2586
别人的一个安全面试题,简单记录一下。 参数name直接已经放在了<script>标签里面: 那么直接alert(document.cookie)试一下: 可以看到括号已经做了处理,虽然可以使用反引号绕过括号过滤,但是反引号中的内容是处理字符串,并不能得到想要的结果,比如: 通过FUZZ,如下: TIPS: setTimeout`alert\u00...
Pikachu靶场——XSS漏洞(Cross-Site Scripting)
来日可期的博客
10-07 1520
跨站点脚本(Cross Site Scripting,XSS)是指客户端代码注入攻击,攻击者可以在合法网站或Web应用程序中执行恶意脚本。当wb应用程序在其生成的输出中使用未经验证或未编码的用户输入时,就会发生XSS
Xss漏洞常见绕过过滤攻击场景
chaottop的博客
05-04 3196
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
18. XSS过滤绕过 [猥琐绕过]
→_→
05-22 641
作者:心伤的瘦子 来自:PKAV技术宅社区 网址:http://www.pkav.net ---------------------------------------------------------------------------------------------------------- 简要描述: 有些时候,通用的绕过技巧并不可行,这个时候我们就得观察缺陷点的周围环境,想想其它办法咯。“猥琐绕过”与通用绕过不同的是,它通用性小,往往只是特例。 详细说明: 1. 直接看实例点:
CSS特性与XSS过滤绕过实战解析
"本资源主要介绍了如何利用CSS特性来绕过XSS过滤的策略,包括XSS漏洞的发现、基本的XSS利用方法以及通过CSS特性构造有效载荷以触发XSS攻击。" 在Web安全领域,XSS(跨站脚本攻击)是一种常见的攻击手段,攻击者通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值