前言 在某次src的漏洞挖掘过程中,发现了一个payload绕过了三处xss过滤,个人觉得还是挺有意思的,所以记录一下。 从一个被忽略的self xss说起 在某页面信息如下,我决定对回复内容进行xss测试: 插入一个<img/src=1>以后可以看到标签成功解析: 继续深入测试的时候却发现了问题, ...
分类:
其他好文 时间:
2019-03-19 23:16:45
阅读次数:
216
0×04 过滤的解决办法 假如说网站禁止过滤了script 这时该怎么办呢,记住一句话, 这是我总结出来的“xss就是在页面执行你想要的js”不用管那么多, 只要能运行我们的js就OK,比如用img标签或者a标签。我们可以这样写 等等有很多的方法,不要把思想总局限于一种上面, 记住一句话“xss就是 ...
分类:
其他好文 时间:
2019-03-18 13:49:53
阅读次数:
169
前几天在漏洞挖掘中遇到个xss,感觉绕过过程蛮有意思的,写篇文章记录下。 接下里是我对这个xss详细的分析和绕过 存在问题站点http://******/index/appInfo?appId=784&url=xss 当我查看源代码搜索xss: 一处输出点: 继续搜索第二处输出点: 两次输出,第一次 ...
分类:
其他好文 时间:
2019-01-30 15:57:49
阅读次数:
189
UEditor插入视频由于兼容性问题,需要再处理一个视频代码,但是新版ueditor不支持Objec IFrame标签,所以要加入// xss过滤白名单 名单来源: https://raw.githubusercontent.com/leizongmin/js-xss/master/lib/defa ...
分类:
其他好文 时间:
2018-10-30 14:52:52
阅读次数:
298
XSS挑战之旅 最近在学习xss,找到了一个xss练习平台,在线地址:http://test.xss.tv/ 实验环境也可以本地搭建,不过需要php+mysql的环境: xss通关小游戏:https://pan.baidu.com/s/1zS2GwTNbMBXEF2yNEBeLgA 密码:85g8 ...
分类:
其他好文 时间:
2018-08-09 00:32:25
阅读次数:
590
博客系统实现组合搜索:动态的获取然后生成url;JSONP的实现和使用,解决跨域请求的问题;XSS过滤:beautifulsoup4模块的使用;单例模式;Django的事务操作。
分类:
编程语言 时间:
2018-06-22 16:28:47
阅读次数:
310
Java项目中为了防止SQL注入,本文详细介绍XSS过滤器的使用方法,以及具体实现代码。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击... ...
分类:
数据库 时间:
2018-05-26 10:51:13
阅读次数:
329
KindEditor1、进入官网2、下载官网下载:http://kindeditor.net/down.php本地下载:http://files.cnblogs.com/files/wupeiqi/kindeditor_a5.zip3、文件夹说明├── asp
分类:
其他好文 时间:
2018-04-18 11:38:18
阅读次数:
180
在控制器方法的头部添加 [ValidateInput(false)] 如果向mvc服务端提交带html标签的内容就会导致校验失败异常,从而得不到想要的结果,关闭的方法是在相应方法头部添加 [ValidateInput(false)]属性。 如: ...
分类:
Web程序 时间:
2018-02-19 10:25:17
阅读次数:
237
BeautifulSoup 是一个可以从HTML或XML文件中提取数据的Python库.它能够通过你喜欢的转换器实现惯用的文档导航,查找,修改文档的方式,同时应用场景也是非常丰富,你可以使用它进行XSS过滤,也可以是使用它来提取html中的关键信息。 官方文档:https://www.crummy. ...
分类:
其他好文 时间:
2018-01-29 19:12:27
阅读次数:
172