XSS學習記錄

原創 Clannad_niu 2020-02-24 03:02

最近開始學習web安全工程師的課程 立面涉及到了xss的相關原理 爲了更好的學習其攻擊原理 在網上找到了相關的訓練平臺

源代碼下載:鏈接:https://pan.baidu.com/s/1n3huSSHsW7OOXc8QtNBX5g  提取碼:3yot

攻略:https://blog.csdn.net/qq_43531669/article/details/90347006

以下是關於相關注入點以及相關方法的記錄:

1.無過濾

2.閉合雙引號

3.對尖括號有過濾 使用οnclick=‘javascript:alert(1)’

4.on被屏蔽 改用<a href='java>

5.href被屏蔽 用大小寫繞過

6.完全被屏蔽 雙寫 sscriptcript

7.大小寫不管用 採用轉換十六進制的方式

    https://www.qqxiuzi.cn/bianma/zifushiti.php

8.對輸入的網址不顯示 加入http://

9.沒有輸入點 type=hidden  查找注入點

10.構造referer實現攻擊 有變量爲HTTP_REFERER時使用

11.ng-include 包含帶有xss的頁面

12.%0d繞過空格檢測

13.onclick在flash時不好用 可以考慮onmouseover

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Sunny-ngork搭建

Clannad_niu 2020-05-04 13:39:51

如何成爲一名合格的web安全工程師!

sharewaf 2019-03-22 13:43:55

Sunny-ngork搭建

Clannad_niu 2020-05-04 13:39:51

網易雲課堂web安全第三天-後端開發基礎——SQL

Break-attack 2018-11-04 05:32:42

網易雲課堂web安全第四天-後端開發基礎——PHP

Break-attack 2018-11-04 05:32:42

對WEB安全工程師的理解

云梦逸兮 2018-09-02 10:13:09