复现urlcode编码绕过xss限制两个demo

最新推荐文章于 2023-03-01 15:14:06 发布
原创 最新推荐文章于 2023-03-01 15:14:06 发布 · 402 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #安全 #web安全

本文详细介绍了如何通过URL编码绕过XSS过滤限制,分别通过两个DEMO展示了如何构造URL,利用onerror事件和location属性,成功触发JavaScript执行,从而实现XSS攻击。内容涉及编码规则、过滤机制分析以及编码技巧的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

GET传递的参数直接输出在src中会存在反射型xss漏洞,本次复现的目的是利用url编码规则构造url绕过xss限制。

UrlEncode编码规则:将需要转码的字符的ASCII码值转为16进制,然后从右到左,取4位(不足4位直接处理),每2位做一位,前面加上%,编码成%XY格式。

通过分析源代码可知屏幕上打印图片路径来自于GET传递的参数,同时会将接收到参数中的()$<>'等字符均会被替换为空格。<>被过滤,闭合标签写入新标签不可行;&被过滤,使用&#的HTML实体编码不可行,因此使用url编码。

demo.php源代码

<?php
 
header('X-XSS-Protection: 0');
 
$xss = isset($_GET['xss'])? $_GET['xss'] : '';
 
$xss = str_replace(array("(",")","&","\\","<",">","'"), '', $xss);
 
echo "<img src=\"{$xss}\">";
 
?>

通过分析源代码可知屏幕上打印图片路径来自于GET传递的参数,同时会将接收到参数中的()$<>'等字符均会被替换为空格。<>被过滤,闭合标签写入新标签不可行;&被过滤,使用&#的HTML实体编码不可行,因此使用url编码。

构造url:闭合双引号,逃逸出限制,利用GET传递一个不存在的参数和onerror函数来触发弹窗
127.0.0.1/demo.php?xss=b" οnerrοr="alert(1)
使用url编码替换()
127.0.0.1/demo.php?xss=b" οnerrοr="alert%281%29
但浏览器会在提交数据时先进行一次转码,所以进入函数时%28%29又会被转换为()。我们需要让转码后的数据进入函数时保持在%28%29的状态,而%的url编码是%25,因此我们可以这样构建127.0.0.1/demo.php

最低0.47元/天 解锁文章

200万优质内容无限畅学
【网络安全】jquery版本漏洞如何验证
你在看屏幕的同时,屏幕也在注视着你
05-14 3237
jquery版本漏洞如何验证 首先我们都知道版本漏洞是可以通过升级版本来解决的,这个漏洞也是一样,那么当我们发现了这个漏洞时候应该如何去验证呢? 代码 <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8704
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
[安全]复现urlcode编码绕过xss限制两个demo
紫洋的博客
11-16 887
题目利用replace函数将常见的"(",")","&","\\","","'"都替换成了空格符号,而想进行弹窗操作需要利用到onerror="alert(xxx)"函数。我们可以利用URLcode编码将括号转变为%28和%29,而URLcode编码会自动将%28和%29识别为括号,又会被限制,我们可以将%转换为相应的%25。而这时浏览器并未将%28和%29识别过来,原因是onerror函数为一个JS函数,在JS中是不允许编码符号的,就是在onerror内部不允许进行符号的编码
urlcode编码绕过xss限制
weixin_64311421的博客
03-01 338
url编码绕过xss限制
xss编码两次_URL编码XSS
weixin_39719127的博客
12-18 921
0x00 背景最近遇到一个双重编码绕过过滤的xss漏洞,成功在大佬的指点下弹出成功之后记录一下学习。0x01 URL编码一个URL的形式如下:foo://example.com:8042/over/there?name=ferret#nose协议 域名 端口 路径 search参数 hash参数通常来说,如果某种文本需要编码,说明他并不适合传输。原因多种多样,或...
实验吧-PHP大法-eregi()函数
07-31 859
题目地址:http://www.shiyanbar.com/ctf/54 题目: <?php if(eregi("hackerDJ",$_GET[id])) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[i...
URLencode转码+MD5加密
01-23
api调用的基础类,URLencode转码、MD5加密 1、获取时间戳-当前时间与1970标准时的差值(s) 2、使用java.net自带urlencode进行转换 3、32位小 MD5加密算法
URL编码绕过WAF
技术超强的网络安全平台
11-21 2574
URL编码绕过WAF 符号\进行url编码一次是%5c。 但攻击者怕这个会被认出来,所以用二次编码,把%本身编码成%25。再和后边拼成%255c。 如果URL解码器有缺陷,只不断重复“从前边开始解析”这个步骤,就会把这个先变回%5c,再变成/,出现循环解析。当然这是错误的。正确的只应该解一步变成%5c。 抵抗父级目录回溯攻击,绝对不能依赖字符过滤,你过滤不完的。必须用“鸭子编程法”,先不论如何构造完整路径,再检验是否在有权的操作目录下。 要正确进行URL解码,谨记使用PHP等语言提供的内部函数,切勿重复发
绕过编码方式阻止XSS攻击的几个例子
weixin_30588675的博客
03-25 270
阻止攻击的常用方法是:在将HTML返回给Web浏览器之前,对攻击者输入的HTML进行编码。HTML编码使用一些没有特定HTML意义的字符来代替那些标记字符(如尖括号)。这些替代字符不会影响文本在web浏览器上的显示方式,仅仅用于阻止HTML渲染引擎将数据识别成HTML标记。这种方法能阻止一些XSS攻击,但是以下几种情况例外: 在Script块中插入: <script> ......
Bugku-urldecode二次编码绕过
王嘟嘟的博客
10-25 4241
0x00 前言 今日份CTF。 时间 2018年10月25日 题目 0x01 start 1.分析 这是一道代码审计的题目。 所以先来看看代码。 &lt;?php if(eregi("hackerDJ",$_GET[id])) { echo(" not allowed! "); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] ...
python中的urlencode与urldecode
weixin_30834019的博客
09-29 1087
参考:http://luchanghong.com/python/2012/07/11/python-urlencode-and-urldecode.html 概要:python 通过 HTTP 交互处理数据的时候,url 里面的中文以及特殊字符要做处理的,来学习一下 urlencode 与 urldecode 之间相互转换的方法。 当url地址含有中文,或者参数有中文的时候,这个算...
绕过防注入的几种方法
weixin_30483495的博客
06-30 203
1、运用编码技术绕过URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 2、通过空格绕过两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如 or swords =‘swords,由于mssql的松散性,我们可以把or ...
python 跳过urlencode_Urlencode踩坑日记
weixin_39942108的博客
12-16 780
Urlencode又称百分号编码,是一种很常用的编码方式,作为前端工程师,少不了与它要打交道。不管是GET请求发送参数,还是POST请求发送body,都少不了要使用Urlencode来编码。而Urlencode的编码规则又特别简单:取出字符的ASCII码,转成16进制,然后前面加上百分号即可。如果是多字节的字符,则取出每一字节,按照同样的规则进行转换即可。例如问号?的ASCII码为63,转换为16...
urlcode加解码
hongweigg的专栏
02-16 3026
有时候下载下来的文件名为URLencode后的编码,不知其真名是啥,很不方便,可以自行使用下面的HTML文件进行转换。 URL 代码转换 var Url = { // public method for url encoding encode : function (string) { return escape(this._utf8_enc
XSS解决方案(以及前端UrlEncode 加密两次的原理分析);附代码
qq_32649889的博客
11-07 3011
**XSSFilter.java** package com.sfpay.scfp.oms.app.filter;import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servl
xssbypass_【渗透技巧】XSS三重URL编码绕过实例
weixin_30126409的博客
12-23 4149
0x00 前言跨站脚本攻击(Cross Site Scripting),缩写为XSS,恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在黑盒渗透中,XSS在很多网站中普遍存在,这边分享一个简单有意思的XSS三重URL编码绕过漏洞实例。0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双...
XSS————XSS绕过Bypass的各种各样姿势
Fly_鹏程万里
04-16 1万+
XSS 攻击是一种攻击者将 JavaScript 代码注入到用户运行页面中的攻击。为了避免这种攻击,一些应用会尝试从用户输入中移除 JavaScript 代码,但这很难完全实现。在本文中会先展示一些尝试过滤 JavaScript 的代码,并随后给出其绕过方法。以一个网上商城应用Magento中的过滤类 Mage_Core_Model_Input_Filter_MaliciousCode为例,部分代...
XSS插入绕过一些方式总结
热门推荐
煜铭2011
05-05 8万+
0x00前言 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类,至于具体每个类别的异同之处,本文不做学术介绍,直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Script 标签 绕过进行一次移除操作: <scr<script&g...
xss防御方法base64_xss原理绕过防御个人总结
weixin_42511507的博客
01-17 364
xss原理xss产生的原因是将恶意的html脚本代码插入web页面,底层原理和sql注入一样,都是因为js和php等都是解释性语言,会将输入的当做命令执行,所以可以注入恶意代码执行我们想要的内容xss分类存储型xss:js脚本代码会插入数据库,具有一定的持久性反射型xss:js经过后端php等语言处理dom型xss:和反射型xss类似,但是不经过后端服务器的处理xss绕过总结:自身绕过alert(...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值