Web渗透测试之XSS跨站脚本 防御[WAF]绕过手法

目录

XSS防御绕过汇总

参考这篇文章绕过

[XSS payload](#XSS payload)


XSS防御绕过汇总

  • 服务端知道有网络攻击或者xss攻

  • Html

  • 通过js代码

  • 标签属性等手段进行一个过滤

  • 不允许出现css的payload

  • 前端过滤 我可以在抓包工具里面修改

  • 抓包工具是不受前端的防御 也 就是浏览器

  • 服务端过滤 有没有xss攻击代码 这叫做防护

  • 不同的防范手法是存在不同的绕过手法。

  • 后台存在很多绕过手法的 渗透测试 就是黑盒测试

    • 我们就需要整理常用的 好用的playload脚本。
  • 我们的输入提交到后台是否被过滤

    • 如果后台过滤,前台没有js的展示,那么就是没有xss漏洞

      • 那么后台肯定是做了过滤了

      • 那么我们就需要对playload进行改造可以进行大小写改造

  • 如果绕过过滤 绕过后能在前端执行

    • 浏览器能解析识别才可以正则匹配。

参考这篇文章绕过

XSS攻击绕过方法语句汇总博客

XSS payload

https://github.com/capture0x/XSS-LOADER

  • Payload有很多 自己需要去下下载 一般都是gitee 或者gitbub这个一般去下载就可以了。
    • 拿到了payload 就可以自己写代码来时间payload注入了
    • 当然如果代码能力不强也可以使用工具,把payload作为字典传入也可以,只是代码有更强大的便利以及灵活性
相关推荐
trigger33330 分钟前
desk-health-web-community-post
前端
倒流时光三十年31 分钟前
Logback 系列(7):常用 Appender(控制台 / 文件 / 滚动文件)
java·前端·logback
祁白_1 小时前
sqlmap工具
web安全·网络安全·sql注入·sqlmap
Csvn1 小时前
页面「穿越」之谜:React 中因 key 值不正确导致的渲染 Bug 排查实战
前端
浅水壁虎1 小时前
前端技术_TypeScript(第一章)
前端
HackTwoHub2 小时前
等级保护现场测评系统重磅更新,支持 AI 接入,可录入全品类资产清单,自动化巡检核查,批量导出测评归档文件
运维·人工智能·安全·web安全·网络安全·自动化·系统安全
川石课堂软件测试2 小时前
安全测试|服务器安全加固方法
服务器·功能测试·测试工具·jmeter·mysql·web安全·单元测试
laboratory agent开发2 小时前
企业AI Agent落地前,先回答四个工程问题
java·前端·人工智能
微三云 - 廖会灵 (私域系统开发)2 小时前
电商系统国际化架构设计:多语言、多币种、多时区、多税制的全链路实现
java·前端·数据库
Sagittarius_A*3 小时前
Command Injection 命令注入漏洞:系统命令拼接缺陷与执行利用技术
网络·安全·web安全·dvwa·命令注入漏洞