精品国产免费观看久久久_久久天天躁狠狠躁夜夜爽_无码人妻少妇久久中文字幕_狠狠做深爱婷婷久久综合一区

學習筆記

精準傳達 ? 價值共享

洞悉互聯網前沿資訊,探尋網站營銷規律

查看其它板塊

xss繞過方法(前端繞過,拼湊繞過,注釋干擾繞過,編碼繞過)

作者:老-男孩 | 2021-11-28 21:45 |點擊:

前端繞過:
前端有很多種方法繞過,比如抓包重放或者修改前端代碼。
 
大小寫繞過:
一般后臺對輸入進行過濾有兩種方法:
1,使用正則匹配,一旦匹配成功就會被刪除掉。2,用查找的函數查找。被函數查找到的內容也會被刪除。
這兩種方法可以用大小寫混合的方式進行繞過,而后端是不管大小寫的,可以正常執行我們的語句。
 
正則表達式:
重要性:在新技術層出不窮的今天,讓人難以遺忘的,能稱得上是偉大的東西寥寥無幾,但是這個正則表達式算一個!但是,最讓人容易忽略和忘記的也是正則表達式!(一定要學!!!)
 
正則表達式是一種描述字符串結構的語法規則,是一種規定好了的字符串格式,作用是可以匹配,替換,截取匹配的字符串。
 
拼湊繞過:
后端會對我們輸入的標簽進行替換,但只替換一次,所以可以這樣:
 
<scri<script>pt>alert("hello world!")</scri</script>pt>
1
這樣經過后端的替換之后就會變成:
 
<script>alert("hello world!")</script>
1
使用注釋進行干擾:
例如:
 
<scri<!--test-->pt>alert("hello world!")</scri<!--test-->pt>
1
后端不認識:
 
<scri<!--test-->pt>
1
所以不會去處理這個,然后執行的時候會變成這樣:
 
<script>
1
如圖:
<scri pt>
 
看到了沒<! --test–>不會出來,被注釋掉了。(這里的嘆號后面是沒有空格的,因為不加空格,,它會被注釋掉,你們會看不到,建議手動試試,,,,,,)但是可以避開檢查!
 
編碼繞過:
<script>
1
這種標簽是可以編碼的,編碼之后,后臺也會不認識它,然后達到繞過的效果,但是!不是可以任意編碼的!他有一個重要的條件:一定要確保在輸出點的時候可以正常被識別,翻譯,執行!
 
案例演示:
大小寫繞過:
 
<Script>5555555
1
拼湊繞過:
 
<sc<script>ript>4444444
1
注釋繞過
 
<sc<!--test-->ript>666666
1
提交后查看頁面源碼:
大小寫繞過:
 
結果:標簽還在!成功繞過!
拼湊繞過:
 
標簽被“干掉”,繞過失敗!
注釋繞過:
 
標簽被“干掉”,繞過失敗!
 
通過上面三種可以看出大小寫繞過方案可行!
payload:
 
<Script>alert("hello !")</Script>
1
效果:
 
 
關于htmlspecialchars()函數的繞過:
這個函數的防御不全面,也就是說,如果后端只用該函數對輸入進行處理,而沒有其他處理的話,這樣的輸入口還是會產生漏洞的。比如:
 
 
 
$message=htmlspecialchars($_GET['message']);
1
上述圖片就是只用htmlspecialchars()函數對輸入做處理,而沒用其他的,我們來試試如何繞過把!
輸入:
 
提交后查看后端代碼:
 
可以看到,2333和單引號和斜杠沒有被處理,所以我們可以結合后端返回回來的代碼試著做閉合處理:
payload:
 
' onclick='alert("hello!!!")'
1
 
 
總結:
xss的繞過方法很多很多,能否利用起來取決于你對PHP,Javascript,HTML等語言的理解程度,所以,努力吧!海闊憑魚躍,天高任鳥飛!
————————————————
版權聲明:本文為CSDN博主「老-男孩」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/qq_43814486/article/details/89843012
如沒特殊注明,文章均為狐靈科技原創,轉載請注明?? "xss繞過方法(前端繞過,拼湊繞過,注釋干擾繞過,編碼繞過)
相關推薦
多一份免費策劃方案,總有益處。

請直接添加技術總監微信聯系咨詢

網站設計 品牌營銷

多一份參考,總有益處

聯系狐靈科技,免費獲得專屬《策劃方案》及報價

咨詢相關問題或預約面談,可以通過以下方式與我們聯系

業務熱線:15082661954 / 大客戶專線:15523356218

關于狐靈科技

+

狐靈致力于互聯網品牌建設與網絡營銷,專業領域包括 網站建設 SEO優化、移動互聯網營銷、高端網站建設、高端網站設計、品牌網站定制開發、營銷策劃推廣電子商務、移動互聯網營銷、 為不同類型的客戶提供良好的互聯網應用定制解決方案,我們將策略和執行緊密結合,且不斷評估并優化我們的方案,為客戶提供一體化全方位的互聯網品牌整合方案!

我們的優勢

量身打造個性化網站制作

代碼深度符合SEO優化

一站式企業網站建設服務

前沿視覺設計、研發能力

重慶網站建設公司

多項網站設計傳播大獎

營銷型網站建設專家

自主研發網站管理系統

B2C電商網站建設供應商

完善的售后服務體系

我們的不同

+

在我們的對手消耗大量的時間停留在碎片化的互聯網設計或者程序實現的時候,我們已經開始把數字化品牌建設和網絡傳播進行了整合。我們提供從前期的網站品牌分析策劃、網站設計、創意表現、系統開發以及后續網站運營反饋建議等一系列服務,幫助企業打造創新的互聯網品牌經營模式與有效的網絡營銷方法,為所有謀求長遠發展的企業品牌貢獻全力!

公司地址:重慶市九龍坡楊家坪重百大樓21-8 | 業務熱線:15082661954

Copyright © 2017-2020 Fox spirit Network. 狐靈科技 版權所有 | 渝ICP備19005721號-1

專業團隊為您提供 重慶網頁設計, 品牌網站設計,營銷型網站制作,SEO優化關鍵詞排名推廣等服務,建網站就找狐靈科技! | TAG標簽 | 網站建設地圖 | 網站地圖