自拍亚洲一区欧美另类,亚洲成人影院,亚洲午夜久久久久妓女影院,最近中文字幕高清中文字幕无,亚洲熟妇av一区二区三区漫画

學(xué)習(xí)筆記

精準(zhǔn)傳達(dá) ? 價(jià)值共享

洞悉互聯(lián)網(wǎng)前沿資訊,探尋網(wǎng)站營銷規(guī)律

xss繞過方法(前端繞過,拼湊繞過,注釋干擾繞過,編碼繞過)

作者:老-男孩 | 2021-11-28 21:45 |點(diǎn)擊:

前端繞過:
前端有很多種方法繞過,比如抓包重放或者修改前端代碼。
 
大小寫繞過:
一般后臺對輸入進(jìn)行過濾有兩種方法:
1,使用正則匹配,一旦匹配成功就會被刪除掉。2,用查找的函數(shù)查找。被函數(shù)查找到的內(nèi)容也會被刪除。
這兩種方法可以用大小寫混合的方式進(jìn)行繞過,而后端是不管大小寫的,可以正常執(zhí)行我們的語句。
 
正則表達(dá)式:
重要性:在新技術(shù)層出不窮的今天,讓人難以遺忘的,能稱得上是偉大的東西寥寥無幾,但是這個(gè)正則表達(dá)式算一個(gè)!但是,最讓人容易忽略和忘記的也是正則表達(dá)式?。ㄒ欢ㄒ獙W(xué)?。。。?/div>
 
正則表達(dá)式是一種描述字符串結(jié)構(gòu)的語法規(guī)則,是一種規(guī)定好了的字符串格式,作用是可以匹配,替換,截取匹配的字符串。
 
拼湊繞過:
后端會對我們輸入的標(biāo)簽進(jìn)行替換,但只替換一次,所以可以這樣:
 
<scri<script>pt>alert("hello world!")</scri</script>pt>
1
這樣經(jīng)過后端的替換之后就會變成:
 
<script>alert("hello world!")</script>
1
使用注釋進(jìn)行干擾:
例如:
 
<scri<!--test-->pt>alert("hello world!")</scri<!--test-->pt>
1
后端不認(rèn)識:
 
<scri<!--test-->pt>
1
所以不會去處理這個(gè),然后執(zhí)行的時(shí)候會變成這樣:
 
<script>
1
如圖:
<scri pt>
 
看到了沒<! --test–>不會出來,被注釋掉了。(這里的嘆號后面是沒有空格的,因?yàn)椴患涌崭瘢?,它會被注釋掉,你們會看不到,建議手動試試,,,,,,)但是可以避開檢查!
 
編碼繞過:
<script>
1
這種標(biāo)簽是可以編碼的,編碼之后,后臺也會不認(rèn)識它,然后達(dá)到繞過的效果,但是!不是可以任意編碼的!他有一個(gè)重要的條件:一定要確保在輸出點(diǎn)的時(shí)候可以正常被識別,翻譯,執(zhí)行!
 
案例演示:
大小寫繞過:
 
<Script>5555555
1
拼湊繞過:
 
<sc<script>ript>4444444
1
注釋繞過
 
<sc<!--test-->ript>666666
1
提交后查看頁面源碼:
大小寫繞過:
 
結(jié)果:標(biāo)簽還在!成功繞過!
拼湊繞過:
 
標(biāo)簽被“干掉”,繞過失?。?/div>
注釋繞過:
 
標(biāo)簽被“干掉”,繞過失敗!
 
通過上面三種可以看出大小寫繞過方案可行!
payload:
 
<Script>alert("hello !")</Script>
1
效果:
 
 
關(guān)于htmlspecialchars()函數(shù)的繞過:
這個(gè)函數(shù)的防御不全面,也就是說,如果后端只用該函數(shù)對輸入進(jìn)行處理,而沒有其他處理的話,這樣的輸入口還是會產(chǎn)生漏洞的。比如:
 
 
 
$message=htmlspecialchars($_GET['message']);
1
上述圖片就是只用htmlspecialchars()函數(shù)對輸入做處理,而沒用其他的,我們來試試如何繞過把!
輸入:
 
提交后查看后端代碼:
 
可以看到,2333和單引號和斜杠沒有被處理,所以我們可以結(jié)合后端返回回來的代碼試著做閉合處理:
payload:
 
' onclick='alert("hello!!!")'
1
 
 
總結(jié):
xss的繞過方法很多很多,能否利用起來取決于你對PHP,Javascript,HTML等語言的理解程度,所以,努力吧!海闊憑魚躍,天高任鳥飛!
————————————————
版權(quán)聲明:本文為CSDN博主「老-男孩」的原創(chuàng)文章,遵循CC 4.0 BY-SA版權(quán)協(xié)議,轉(zhuǎn)載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/qq_43814486/article/details/89843012
如沒特殊注明,文章均為狐靈科技原創(chuàng),轉(zhuǎn)載請注明?? "xss繞過方法(前端繞過,拼湊繞過,注釋干擾繞過,編碼繞過)
相關(guān)推薦
多一份免費(fèi)策劃方案,總有益處。

請直接添加技術(shù)總監(jiān)微信聯(lián)系咨詢

網(wǎng)站設(shè)計(jì) 品牌營銷

多一份參考,總有益處

聯(lián)系狐靈科技,免費(fèi)獲得專屬《策劃方案》及報(bào)價(jià)

咨詢相關(guān)問題或預(yù)約面談,可以通過以下方式與我們聯(lián)系

業(yè)務(wù)熱線:15082661954 / 大客戶專線:15523356218

關(guān)于狐靈科技

+

狐靈致力于互聯(lián)網(wǎng)品牌建設(shè)與網(wǎng)絡(luò)營銷,專業(yè)領(lǐng)域包括 網(wǎng)站建設(shè)、 SEO優(yōu)化、移動互聯(lián)網(wǎng)營銷、高端網(wǎng)站建設(shè)、高端網(wǎng)站設(shè)計(jì)、品牌網(wǎng)站定制開發(fā)、營銷策劃推廣電子商務(wù)、移動互聯(lián)網(wǎng)營銷、 為不同類型的客戶提供良好的互聯(lián)網(wǎng)應(yīng)用定制解決方案,我們將策略和執(zhí)行緊密結(jié)合,且不斷評估并優(yōu)化我們的方案,為客戶提供一體化全方位的互聯(lián)網(wǎng)品牌整合方案!

我們的優(yōu)勢

量身打造個(gè)性化網(wǎng)站制作

代碼深度符合SEO優(yōu)化

一站式企業(yè)網(wǎng)站建設(shè)服務(wù)

前沿視覺設(shè)計(jì)、研發(fā)能力

重慶網(wǎng)站建設(shè)公司

多項(xiàng)網(wǎng)站設(shè)計(jì)傳播大獎

營銷型網(wǎng)站建設(shè)專家

自主研發(fā)網(wǎng)站管理系統(tǒng)

B2C電商網(wǎng)站建設(shè)供應(yīng)商

完善的售后服務(wù)體系

我們的不同

+

在我們的對手消耗大量的時(shí)間停留在碎片化的互聯(lián)網(wǎng)設(shè)計(jì)或者程序?qū)崿F(xiàn)的時(shí)候,我們已經(jīng)開始把數(shù)字化品牌建設(shè)和網(wǎng)絡(luò)傳播進(jìn)行了整合。我們提供從前期的網(wǎng)站品牌分析策劃、網(wǎng)站設(shè)計(jì)、創(chuàng)意表現(xiàn)、系統(tǒng)開發(fā)以及后續(xù)網(wǎng)站運(yùn)營反饋建議等一系列服務(wù),幫助企業(yè)打造創(chuàng)新的互聯(lián)網(wǎng)品牌經(jīng)營模式與有效的網(wǎng)絡(luò)營銷方法,為所有謀求長遠(yuǎn)發(fā)展的企業(yè)品牌貢獻(xiàn)全力!

公司地址:重慶市九龍坡楊家坪重百大樓21-8 | 業(yè)務(wù)熱線:15082661954

Copyright © 2017-2020 Fox spirit Network. 狐靈科技 版權(quán)所有 | 渝ICP備19005721號-1

專業(yè)團(tuán)隊(duì)為您提供 重慶網(wǎng)頁設(shè)計(jì), 品牌網(wǎng)站設(shè)計(jì),營銷型網(wǎng)站制作,SEO優(yōu)化關(guān)鍵詞排名推廣等服務(wù),建網(wǎng)站就找狐靈科技! | TAG標(biāo)簽 | 網(wǎng)站建設(shè)地圖 | 網(wǎng)站地圖