目录

XSS防御绕过汇总

参考这篇文章绕过

 XSS payload

---

XSS防御绕过汇总

• 服务端知道有网络攻击或者xss攻

• Html

• 通过js代码

• 标签属性等手段进行一个过滤

• 不允许出现css的payload

• 前端过滤 我可以在抓包工具里面修改

• 抓包工具是不受前端的防御 也 就是浏览器

• 服务端过滤 有没有xss攻击代码 这叫做防护

• 不同的防范手法是存在不同的绕过手法。

• 后台存在很多绕过手法的 渗透测试 就是黑盒测试

  • 我们就需要整理常用的 好用的playload脚本。

• 我们的输入提交到后台是否被过滤

  • 如果后台过滤，前台没有js的展示，那么就是没有xss漏洞

    • 那么后台肯定是做了过滤了

    • 那么我们就需要对playload进行改造可以进行大小写改造

• 如果绕过过滤 绕过后能在前端执行

  • 浏览器能解析识别才可以正则匹配。

参考这篇文章绕过

XSS攻击绕过方法语句汇总博客

 XSS payload

 https://github.com/capture0x/XSS-LOADER

• Payload有很多 自己需要去下下载 一般都是gitee 或者gitbub这个一般去下载就可以了。
  • 拿到了payload 就可以自己写代码来时间payload注入了
  • 当然如果代码能力不强也可以使用工具，把payload作为字典传入也可以，只是代码有更强大的便利以及灵活性