Javascript 注入攻击

最新推荐文章于 2023-10-25 23:04:31 发布
最新推荐文章于 2023-10-25 23:04:31 发布
阅读量1.1w 收藏 2
点赞数
分类专栏: C#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/writehappy/article/details/8970491
版权

Javascript 注入攻击?

什么是javascript注入攻击呢?其实比较其他的攻击,javascript可能相对简单一些。

每当接受用户输入的内容并重新显示这些内容的时候,网站就容易受到这种攻击。

用asp.net mvc来个简单的例子:

[ValidateInput(false)]
    public class HomeController : Controller
    {
        public string Index(string genre)
        {
            //将genre参数原封不动的返回
            string result = genre;
            return result;
        }

        public ActionResult About()
        {
            return View();
        }
    }
这是controller的代码, 一个url请求经过route解析之后,会到对应的action中。

对于这个index方法,不需要call view层面的代码,直接会在页面上将genre这个参数以字符串的方式显示出来。

如果对于正常的url 比如http://localhost:1796/home/index?genre=abc ,那么页面就会显示abc

但是javascript攻击的话,比如url是http://localhost:1796/home/index?genre=<script>window.location='http://baidu.com/'</script>

这里还分两种情况

1,Chrome浏览器下的情况:

表面现象是什么都没有返回,但是打开调试器,会发现有一个页面错误

Refused to execute a JavaScript script. Source code of script found within request.

2. 来看看IE的情况:

尼玛,直接就跳转到baidu页面了, IE,你果然牛X。


其他的浏览器没有实验。

个人判断chrome浏览器的行为是这样的,

1.从server端返回的结果是<script>window.location='http://baidu.com/'</script>

2.浏览器说,我cao,这是一段js代码,我是执行还是不执行呢?

3.不着急,先看看刚才的request是什么, http://localhost:1796/home/index?genre=<script>window.location='http://baidu.com/'</script>

4.chrome浏览器:“尼玛,这是典型的javascript攻击啊,因为匹配reuqest和返回的js代码是一样的”

5.妈的,老子拒绝执行!

这样来意淫一下chrome的执行,觉得chrome还是很聪明的。


PS:实际上asp.net mvc框架还是比较优秀的。

细心的你可能会发现controller的代码里面多了一行[ValidateInput(false)]

目的是屏蔽mvc的校验querystring这块,如果url里面包含<script>这样的东西,http请求就不会达到urlRoute层。

而是被System.Web.HttpRequest率先截获,抛出一个异常

A potentially dangerous Request.QueryString value was detected from the client (genre="<script>

而加上[ValidateInput(false)]的目的就是关闭http的校验。



WriteHappy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
通过Javascript注入实施的PDF攻击.pdf
01-02
通过Javascript注入实施的PDF攻击.pdf
浅谈html转义及防止javascript注入攻击的方法
10-20
下面小编就为大家带来一篇浅谈html转义及防止javascript注入攻击的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
js代码攻击以及如何避免
weixin_43288747的博客
09-27 2155
什么是js代码攻击Javascript注入攻击指的是通过在网页地址后加JavaScript代码,影响系统运作。 使用 JavaScript 注入攻击可以执行跨站脚本 (XSS) 攻击。在跨站脚本攻击中,可以窃取保密的用户信息并将信息发送到另一个网站。 JavaScript注入漏洞能发生作用主要依赖两个关键的动作,一个是用户要能从界面中注入JavaScript到系统的内存或者后台存储系统中;二是...
如何避免JavaScript 注入攻击
qq_43288299的博客
09-27 3775
什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。 假设用户正在将以下文本输入到客户反馈表单中: &amp;amp;lt;...
ASP.NET MVC 阻止 JavaScript 注入攻击
deng_zz的专栏
01-22 6214
阻止 JavaScript 注入攻击本教程的目的是解释如何在 ASP.NET MVC 应用程序中阻止 JavaScript 注入攻击。本教程讨论防止网站遭受 JavaScript 注入攻击的两种方法。我们将学习如何通过编码显示的数据防止 JavaScript 注入攻击。我们还将学习如何通过编码接受的内容防止 JavaScript 注入攻击。什么是 JavaScript 注入攻击?每当接
浅谈javascript注入攻击
qq_41914181的博客
10-17 1万+
前言 记录一次防止js注入的项目经历,起因,项目在测试过程中,发现可能存在注入可能,于是拿到代码开始查看,因为现在前后端分离的情况下,需要特殊处理避免XSS攻击(跨站脚本攻击)的情况已经很少了,所以这次情况引起了我的兴趣。 介绍 什么是javascript注入攻击?简单来说,就是页面上输入的内容中带有可执行的javascript,而你使用这段输入内容的时候,让这段用户提供的代码执行了,也就是你写的代码,执行了非你写的代码,就会导致网页的不可行乃至更严重的安全威胁。 传统页面的服务端渲染 因为传统页面基本都是
js注入攻击代码
weixin_35756637的博客
01-17 1297
JS注入攻击是一种利用漏洞在网页中植入恶意JS代码的攻击方式。攻击者可以通过在网页的表单、搜索框等输入框中输入恶意代码,并将其发送到服务器上,服务器在解析和返回网页时将恶意代码一并返回给用户。攻击代码可能包含跳转到恶意网站、收集用户信息等内容。 举例: <script> alert("JS Injection Attack"); </script> 这是一个简单的...
JavaScript 注入攻击
Criss@陈磊
05-09 1289
Javascript可以作为黑客攻击网站的一种工具,其中注入js(javascript)恶意脚本就是其中一种手段之一,那么下面,大家来学习一下如何预防js的注入攻击呢?以下有一个不错的陈述,跟大家分享:   什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScrip
什么是JavaScript注入攻击?
10-21
本文告诉大家什么是js注入,讨论防止 ASP.NET MVC 应用程序受到 JavaScript 注入攻击的两种技术,感兴趣的小伙伴们可以参考一下
JavaScript脚本注入,完成Selenium 无法做到的那些事
软件自动化测试技术交流、资源分享
09-07 263
当 webdriver 遇到无法完成的操作时,可以使用 JavaScript 来完成,webdriver 提供了 execute_script() 方法来调用 js 代码。 执行 js 有两种场景:
浅谈html转义及防止javascript注入攻击的方法.docx
11-24
浅谈html转义及防止javascript注入攻击的方法.docx
JavaScript 中的依赖注入
奇舞周刊
12-28 2110
依赖注入 DI (Dependency Injection) 是编程领域中一个非常常见的设计模式,它指的是将应用程序所需的依赖关系(如服务或其他组件)通过构造函数参数或属性自动注入的过程。这样做的好处是可以减少组件之间的耦合,更容易测试和维护。我们先举个简单的例子,我们有两个简单的 A 类和 B 类,在 B 类中依赖了 A 类,我们在 B 类中对它进行实例化,并调用它的方法:classA{ ...
js脚本注入和sql注入
你好_晴天
02-14 1913
注入攻击
JavaScript实现代码注入(附完整源码)
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题
10-25 764
JavaScript实现代码注入(附完整源码)
ddos攻击源码_简单又可怕!基于JavaScript(JS)的DDOS攻击
weixin_39637920的博客
11-29 2549
最古老、最普遍、却又最可怕的攻击非DDoS攻击莫属。在传统的DDoS攻击中,攻击者会控制大量的傀儡机,然后向目标服务器发送大量请求,阻止合法用户访问网站。然而,最近几年DDoS攻击技术不断推陈出新:攻击者用一种新型且很有趣的方式欺骗用户参与到攻击活动中:使用恶意的JavaScript欺骗用户参与DDoS攻击。基于JavaScript的DDOS攻击有一个非比寻常的特点:任何有浏览器的设备都可能参与...
浅谈html转义及防止javascript注入攻击
热门推荐
taoerchun的专栏
03-02 3万+
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。 一:什么是html转义? html转义是将特殊字符或html标
Web的脆弱性:各种注入攻击
teletian的专栏
12-23 1万+
SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 通过一下的例子更形象的了解SQL注入: 有一个Login画面,在这个Login画面上有两个文本框分别用来输入用户名和密码,当用户点了登录按钮的时候,会对输入的用户名和密码进行验证。验证的SQL语句如下: select * from st
配置vue.config.js 注入全局依赖是什么意思
05-04
在 Vue.js 项目中,我们可以使用 `vue.config.js` 配置文件来修改项目的配置。其中,可以使用 `configureWebpack` 或 `chainWebpack` 属性来对 Webpack 进行配置。 当我们需要在项目中使用一些第三方的依赖库,比如 jQuery 或者 lodash,我们可以通过配置 `webpack.ProvidePlugin` 来将这些依赖库注入到全局中,以便在任意组件中使用。 举个例子,如果我们需要在项目中使用 jQuery,我们可以在 `vue.config.js` 中进行如下配置: ```javascript const webpack = require('webpack'); module.exports = { configureWebpack: { plugins: [ new webpack.ProvidePlugin({ $: 'jquery', jQuery: 'jquery' }) ] } }; ``` 这样,我们就可以在任意组件中使用 `$` 和 `jQuery`,无需再单独引入 jQuery 库。这就是所谓的“注入全局依赖”。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值