一次XSS突破的探险
时间:2022-05-06
本文章向大家介绍一次XSS突破的探险,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
现在一些网站表面上很多地方都没有漏洞,包括xss也过滤的很干净,那我们还能突破重围,挖掘到漏洞吗?
我们经常遇到这种信息保存的地方,它经常进行xss的过滤,是不是xss被过滤了,一切开始绝望了?诅丧了?是吗?
不要怕,即使过滤了一切,导致无法XSS,但是我们还是能XSS攻击成功。
一切源自于一次大胆的尝试。
这里我们保存并退出抓包:
这种数据包是不是有种似曾相识的感觉?尝试修改下数据包:
先输入img试试
然后发送浏览器访问:
发现嵌入成功
发现只能这样了。禁用了on系列,禁用了所有弹窗哎~
怎么办?怎么绕?网站还同时使用了云盾。
没关系,绕过思路:
再次浏览器访问:
同时可以任意html代码修改,css修改
加粗了:
总结:
利用混淆姿势绕过waf payload:
<img data-ks-lazyload="//aaaaa"><script x>alert(8)</script>_150x150.jpg" src="//aaaa " alt="aaaaaa"/>
我们知道保存类型的xss漏洞大部分是self-xss,所以我们需要个csrf,这里不讲了。我们主要的研究对象是xss,假如大家有更好的xss技巧可以分享哦~
小技巧:遇到这种类型的数据包要记得尝试下xss代码,要记住,我们要在任何地方测试xss漏洞。
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 统计回归拟合方程参数
- biomaRt包实现不同物种之间同源基因转换
- 使用OpenCV和Python标记超像素色彩
- 听说,你的Loki还是单体?(上篇)
- 加一
- APP自动化测试系列之Appium介绍及运行原理
- 没想到吧,Markdown 还能这么玩!
- 致敬Vue3: 1.1万字从零解读Vue3.0源码响应式系统
- APP自动化测试系列之Desired Capabilities详解
- Kafka分区分配策略(Partition Assignment Strategy)
- 内网渗透-代理篇(一)
- java学习应用篇|逃不掉的HelloWorld
- java学习原理篇|java程序运行套路
- 架构师成长之路系列(二)
- 前端性能优化 24 条建议(2020)