XSS攻击绕过方法以及绕过waf方法语句大全 XSS攻击语句这一篇足够

已于 2025-02-02 16:25:15 修改
阅读量1.2w 收藏 25
点赞数 18
CC 4.0 BY-SA版权
分类专栏: WAF绕过汇总 XSS跨站脚本攻击 文章标签: xss 前端 网络安全 安全架构 密码学 网络攻击模型 web安全
于 2024-12-31 12:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhzx123aa/article/details/144798039

目录

1. 使用HTML实体编码

2. 大小写混合

3. 利用JavaScript事件

4. 利用URL编码

5. 使用不完整的HTML标签

6. 利用编码绕过

7. 使用不寻常的标签

8. 利用CDATA

9. 利用注释

10. 使用文档对象模型(DOM)

11. 利用HTML5功能

12. 使用特殊字符

13. 利用外部脚本

14. 使用IFrame

15. 利用CSS注入

16. 使用数据URI

17. 利用SVG

18. 使用Base64编码

19. 利用JavaScript编码

20. 使用Object标签

21. 利用Flash注入

22. 使用VBScript

23. 使用表达式

24. 使用JavaScript obfuscation

25. 使用内联事件

26. 使用window.location

27. 使用document.write

28. 使用iframe与JavaScript结合

29. 使用HTML注入

30. 使用字符拼接

31.标签语法替换

svg标签替换

audio标签替换

video标签替换

button标签替换

img标签替换

body 标签替换

style标签替换

32.加密替换

33.混合编码

34.标签属性分割

35.标签属性分割

36.利用JavaScript特性

37.无闭合标签

38.替代函数

39.非标准标签/属性

40.伪协议变形

41.JavaScript上下文拼接

42.CSS上下文注入

43.HTML注释干扰

44.HTML注释干扰

45.工具辅助

Payload生成工具:

编码工具:

  • 1. 使用HTML实体编码

    • <script>alert('XSS')</script>
      • 解释:将特殊字符转换为HTML实体,以绕过文本过滤。
      • 应用:适用于过滤器仅检查特定字符而不解码实体的场景。

  • 2. 大小写混合

      • 
  
    • 


                

        

    

    
  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        


    



                



	

		

			

				
					
XSS的一些绕过手法

				
			

			

				

					qq_30787769的博客
				

				

					12-09
					
					1798
					
				

			

		

		

			
				
注:XSS我没有实战研究过所以大多都是靶场用的手法和别人的一些文章,可能实战的时候效果不好
1.绕过简单的xss防护
1.如果双引号被禁用就用单引号。
2.针对黑名单过滤,过滤一般不全,在过滤了img还有input或者div
3.过滤了onclik,onmouseover,可以尝试冷门的事件触发onmouseenter(注意冷门最好)
4.过滤了()可以尝试(),过滤了‘可以尝试反引号,这个是反引...

			
		

	



                

            
              



	

		

			

				
					
xss防护绕过方法

					
最新发布

				
			

			

				

					rasssel的博客
				

				

					07-11
					
					1147
					
				

			

		

		

			
				
Payload技术类型优势常见用途绕过能力最基础脚本注入简单、直观用于初步测试 XSS 是否存在易被过滤利用事件触发兼容性强输入框、HTML属性中注入绕过<script>过滤非主流标签 + 属性HTML5 支持好可混淆绕过高级防护绕过技巧URL 中不能直接包含某些字符(如空格、中文、原字符URL 编码示例%3C<script>→%3E%2F/script→%2Fscript如果服务器未对 URL 编码内容进行检测,就会被绕过

			
		

	



              


  
              

                


	

		

			

				
					
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)

				
			

			

				

					白帽子佳奇的博客
				

				

					12-12
					
					7245
					
				

			

		

		

			
				
XSS(跨站脚本攻击绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。

			
		

	





	

		

			

				
					
XSS攻击绕过方法大全XSS攻击技巧,收集100种绕过方法分享(2024最新)

				
			

			

				

					白帽黑客八哥的博客
				

				

					12-12
					
					1万+
					
				

			

		

		

			
				
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。

			
		

	



		

			
		



	

		

			

				
					
XSS绕过方式

				
			

			

				

					weixin_66022252的博客
				

				

					08-31
					
					1207
					
				

			

		

		

			
				
XSS(跨站脚本攻击绕过方式多种多样,主要依赖于攻击者如何巧妙地绕过目标网站的安全措施。

			
		

	





	

		

			

				
					
xss绕过方式

				
			

			

				

					weixin_55821558的博客
				

				

					03-18
					
					9165
					
				

			

		

		

			
				
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档





文章目录

前言
	一.xss的类型以及常用标签
	二.xss常用绕过
	总结




前言

xss(cross-site-scripting)中文:跨站脚本攻击 常年位于owasp top ten,可见他的地位。

基于javascript完成恶意攻击,javascript使用灵活 他可控制网页的行为 操作html、css、和浏览器,所以他的危害性特别大,了解并学习xss原理对于防范xss攻击意义重大。


提示:以下...

			
		

	





	

		

			

				
					
XSS攻击绕过过滤方法大全(转)

					
热门推荐

				
			

			

				

					mingyqf的博客
				

				

					04-20
					
					2万+
					
				

			

		

		

			
				
XSS攻击绕过过滤方法大全(约100种)
虽然说很多网站为了避免XSS攻击,对用户的输入都采取了过滤,但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS注入。
这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录,现在此XSS备忘录将由OWASP维护和完善它。
OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Cheat She

			
		

	





	

		

			

				
					
XSS绕过waf

				
			

			

				

					m0_52813136的博客
				

				

					07-28
					
					1478
					
				

			

		

		

			
				
XSS绕过waf靶机

			
		

	





	

		

			

				
					
xss绕过html实体化,通过脚本片段绕过XSS防御

				
			

			

				

					weixin_42386511的博客
				

				

					06-07
					
					1934
					
				

			

		

		

			
				
原标题:通过脚本片段绕过XSS防御 从恶作剧弹框到盲打后台乃至沦陷一个企业,XSS的危害可大可小,近年来,XSS攻击与防御的博弈持续不断,下面是今年5月份北爱尔兰首府举行的OWASP AppSec EU的安全议题:通过脚本片段绕过XSS防御。一、XSS 防御措施尽管业界付出了很多努力,XSS依然是一个广泛且未解决的问题。有数据指出:谷歌VRP中70%的漏洞是XSS漏洞。XSS防御技术的通用假设为:...

			
		

	





	

		

			

				
					
waf绕过之文件上传绕过xss绕过以及查杀工具

				
			

			

				

					weixin_46248422的博客
				

				

					07-26
					
					1039
					
				

			

		

		

			
				
一、文件上传绕过方法一:等号绕过:在filename后面夹两个==







方法二:换行绕过:在文件后缀名处换行



方法三:填充垃圾字符





方法四五试过没有成功:

方法四:突破0,文件名前缀加[0x09]绕过

方法五:文件名去掉双引号绕过

二、XSS绕过WAF

1、大小写绕过
2、javascript伪协议
3、没有分号
4、Flash
5、HTML5 新标签 audio div等标签都可以绕过waf
6、Fuzz进行测试
7、双层标签绕过

CC防护对应有...

			
		

	





	

		

			

				
					
mysql 注入 绕过防火墙_新型渗透手法:利用XSS绕过WAF进行SQL注入

				
			

			

				

					weixin_39852491的博客
				

				

					02-18
					
					340
					
				

			

		

		

			
				
*本文作者:风之传说,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。0×00 前言看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我自己也不好意思写出来啊。通俗讲,就是XSS和sql注入相结合绕过waf。知识要能灵活运用嘛。做一个灵活的胖子(虽然我不是胖子)。0×01起因咳咳,还是来说下起因吧!最近遇到一个网站,有防火墙,而且极其变...

			
		

	





	

		

			

				
					
xss绕过方法前端绕过,拼凑绕过,注释干扰绕过,编码绕过

				
			

			

				

					qq_43814486的博客
				

				

					05-05
					
					9420
					
				

			

		

		

			
				
绕过思路
前端绕过前端有很多种方法绕过,比如抓包重放或者修改前端代码。
大小写绕过:一般后台对输入写进行过滤使用两种方法:1,使用正则匹配,2,用查找的函数查找。这两种方法可以用大小写混合的方式进行绕过,而后端是不管大小写的,可以正常执行我们的语句。
拼凑:后端会对我们输入的标签进行替换,但只替换一次,所以可以这样:
<scri<script>pt>alert("hell...

			
		

	





	

		

			

				
					
常见的绕过XSS过滤的方法

				
			

			

				

					小白渣的博客
				

				

					03-02
					
					1万+
					
				

			

		

		

			
				
xss绕过过滤之方法
很多网站为了避免XSS攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦<>被转换掉,什么就会转换成“<script src=1.js></script>”,不能执行,因此,很多人认为只要用户的...

			
		

	





	

		

			

				
					
[ 常见漏洞篇 ]常见web漏洞总结------XSS绕过方式

				
			

			

				

					qq_51577576的博客
				

				

					12-06
					
					4401
					
				

			

		

		

			
				
本文具体写到了常见的XSS绕过方式,间的的介绍了一下修复方式

写的比较细,比较深,需要一定的基础才能看懂,仔细读完

不懂的可以百度查一查或者私信我,相信会有很大收获


目录

一、Xss绕过方式:

1. 前端过滤

2.双写绕过

3. 事件绕过 

4. 大小写绕过

5. 注释干扰绕过

6.伪协议绕过

7.空格回车Tab绕过

8. 编码绕过

1. base64编码:

2. JS编码:

3. 十六进制:

4. unicode:

5. HTML实体编码:

6. URL...

			
		

	





	

		

			

				
					
XSS绕过常见方式

				
			

			

				

					tomyyyyy
				

				

					08-12
					
					496
					
				

			

		

		

			
				
XSS绕过常见方式

转载自https://www.cnblogs.com/bingtang123/p/12844659.html

XSS常见方式
1.<script>alert(1)</script>
2.源码第一个,[<]被转义,因此在第二个里
"><script>alert(1)</script><a class="
3....

			
		

	





	

		

			

				
					
XSS绕过技巧

				
			

			

				

					weixin_52501704的博客
				

				

					02-10
					
					5041
					
				

			

		

		

			
				
XSS绕过技巧

			
		

	





	

		

			

				
					
XSS常见绕过方法

				
			

			

				

					weixin_42728957的博客
				

				

					12-08
					
					1091
					
				

			

		

		

			
				
https://www.cnblogs.com/shisana/p/12578880.html



			
		

	





	

		

			

				
					
XSS过滤绕过技巧

				
			

			

				

					Javachichi的博客
				

				

					03-23
					
					809
					
				

			

		

		

			
				
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
浩策

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值