AI 助理
备案控制台
开发者社区 云计算 文章 正文

绕过阿里云盾进行XSS

2017-11-16 4696
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

Payload如下所示:

1
<img src= # onerror=alert`2`>








本文转自fatshi51CTO博客,原文链接: http://blog.51cto.com/duallay/1944532,如需转载请自行联系原作者











技术小甜
目录
相关文章
Z2O安全攻防
|
JavaScript 安全 数据安全/隐私保护
dvwa下利用xss获取cookie并利用(绕过验证)
dvwa下利用xss获取cookie并利用(绕过验证)
Z2O安全攻防
797 0
Z2O安全攻防
|
移动开发 安全 JavaScript
XSS绕过安全狗方法【持续更新】
XSS绕过安全狗方法【持续更新】
Z2O安全攻防
417 0
@北鲲
|
存储 Web App开发 JavaScript
xss攻击、绕过最全总结
简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
@北鲲
2061 0
bypass
XSS三重URL编码绕过实例
遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:  双引号被转义了,我们对双引号进行URL双重编码,再看一下输出:  依然被转义了,我们再加一层URL编码,即三重url编码,再看一下输出:   URL编码被还原为双引号,并带入到html中输入。
bypass
2043 0
玄学酱
|
安全 内存技术 JavaScript
通过伪造内网网站绕过弹出窗口屏蔽、XSS过滤器以及Navigate方法
本文讲的是通过伪造内网网站绕过弹出窗口屏蔽、XSS过滤器以及Navigate方法,原来的问题是无域网页(即具有空的document.domains的url)可以访问到任何文档来源的DOM,所以微软对他们添加一个随机域(GUID)进行修补。
玄学酱
2341 0
玄学酱
|
JavaScript 安全 前端开发
如何绕过sop执行XSS盗取cookie并发送推文?
本文讲的是如何绕过sop执行XSS盗取cookie并发送推文?,先通过视频看看这个漏洞的威力吧,在第一个59秒的视频中,我们使用用户名为:Charles Darwin发送推文。在第二个两分钟的视频中,我们通过Edge默认密码管理器进行发送推文甚至查看用户密码。
玄学酱
1765 0
玄学酱
|
JavaScript 安全 Go
一种绕过 CSP 在 Twitter 子站中执行 XSS 的攻击
本文讲的是一种绕过 CSP 在 Twitter 子站中执行 XSS 的攻击,现在就开始讲述发现这一漏洞的过程,首先我对twitter进行了子域名收集,发现了https://careers.twitter.com这一网站,你可以在这一网站上向twitter投简历,找工作,不过我在这个网站寻找漏洞~
玄学酱
1610 0
玄学酱
|
JavaScript 安全 测试技术
Edge 浏览器被爆存在 XSS 绕过漏洞
玄学酱
1748 0
y0umer
|
JavaScript 安全
XSS绕过
大家都知道,普遍的防御XSS攻击的方法是在后台对以下字符进行转义:、’、”,但是经过本人的研究发现,在一些特殊场景下,即使对以上字符进行了转义,还是可以执行XSS攻击的。 首先看一个JS的例子: 1 2     var s = "u003cu003e"; 3     alert(s); 4   运行这段代码,结果显示如下: 看到这么熟悉的尖括号,大家会不会有一些兴奋的感觉呢?JS代码中并没有出现尖括号,可是运行时却输出了尖括号!!!这意味着:可以通过u003c和u003e来代替。
y0umer
1523 0
cnbird
|
JavaScript
让XSS攻击来得更猛烈些吧——一种新型的绕过XSS防御的方法
让XSS攻击来得更猛烈些吧                                             一种新型的绕过XSS防御的方法     大家都知道,普遍的防御XSS攻击的方法是在后台对以下字符进行转义:、’、”,但是经过本人的研究发现,在一些特殊场景下,即使对以上字符进行了转义,还是可以执行XSS攻击的。
cnbird
1146 0