网络安全第四天--继续XSS

最新推荐文章于 2024-05-20 02:54:15 发布
最新推荐文章于 2024-05-20 02:54:15 发布
阅读量25 收藏
点赞数
文章标签: web安全 xss 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80097039/article/details/134314187
版权

周三满课没时间,嘿嘿嘿

一 XSS盲打

对攻击者来说,就是一种尝试因为前端无法看到

可能会在后台生效

尝试如下

先随便输一个

 

再尝试一段代码

登录后台,代码发挥作用,产生弹窗。

二 XSS过滤

XSS绕过比较灵活

通过看源码

发现对<script>做了处理 

但是这个方法只针对小写

换成大写小写混合

出现弹窗

其实这里应该可以不用script

我不太了解,没有尝试

三   xss之htmlspecialchars

根据默认可知,该函数对单引号不做处理,所以可以使用只有单引号的代码

如q'οnclick='alert(666)'

结果如下

出现弹窗

四 防范措施

注意 别管写撒防范措施,一定要写在后端。

五xss之href输出

这种一般是输入一个网页

如果想要做点什么

可用javascript协议来执行js

结果如下

六  xss之js输出

这个的输出方式是在javascript以php的方式输出

看看源码

尝试插入一个弹窗代码

但是要注意将前面的闭合掉

如下

x'</script><script>alert('xss')</script>

结果如下

 

 

 

Nigoridl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
网络安全培训方案(1).docx
06-09
3.appscan辅助脚本 网络安全培训方案(1)全文共14页,当前为第4页。 网络安全培训方案(1)全文共14页,当前为第4页。 第四节:openvas 1.openvas扫描 第四天 系统安全 系统攻击 第一节:密码破解 密码破解实验 第二节...
网络安全培训方案(2).docx
06-09
第四天 网络安全培训方案(2)全文共7页,当前为第3页。 网络安全培训方案(2)全文共7页,当前为第3页。 系统安全 系统攻击 第一节:密码破解 密码破解实验 第二节:系统提权 系统提权实验 第三节:后门程序 后门程序...
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 15万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
网络安全 --- xss-labs靶场通关(1-10关)】详细的xss-labs靶场通关思路及技巧讲解,让你对xss漏洞的理解更深刻
m0_67844671的博客
10-21 3273
网络安全 --- xss-labs靶场通关(1-10关)】详细的xss-labs靶场通关思路及技巧讲解,让你对xss漏洞的理解更深刻
第四章-XSS漏洞
guoyuxin3的博客
11-02 913
第四章-XSS漏洞 第一节 XSS跨站脚本分类 1.1 XSS漏洞介绍 ​ 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 ...
网络安全 --- xss-labs靶场通关(11-20关)】详细的xss-labs靶场通关思路及技巧讲解,让你对xss漏洞的理解更深刻
m0_67844671的博客
10-23 1068
网络安全 --- xss-labs靶场通关(11-20关)】详细的xss-labs靶场通关思路及技巧讲解,让你对xss漏洞的理解更深刻
[网络安全]xss-labs level-14 解题详析
等风来
08-04 2457
以上为[网络安全]xss-labs level-14 解题详析,后续将分享[网络安全]xss-labs level-15 解题详析。我是秋说,我们下次见。
网络安全 --- XSS漏洞利用实战】你知道如何利用XSS漏洞进行cookie获取,钓鱼以及键盘监听吗?--- XSS实战篇
m0_67844671的博客
10-05 2840
你知道xss漏洞如何利用吗?本篇文章详细介绍了利用XSS漏洞如何实现cookie盗取,钓鱼获取用户名密码以及监听键盘记录等,让你对xss漏洞有进一步认识。
XSS-labs(小手手)
xueyuel的博客
10-15 1226
XSS-labs题目
SpringBoot配置XSS过滤器基于mica-xss
靖节先生的博客
04-04 4039
SpringBoot配置XSS过滤器基于mica-xss1. 业务概述1.1 XSS简介1.2 需求概述2. mica概述2.1 mica简介2.1 mica对应springboot版本信息2.2 mica核心功能2.3 mica协议文档3. SpringBoot集成mica-xss3.1 maven依赖3.2 代码实现3.3 测试验证 1. 业务概述 1.1 XSS简介 XSS攻击即跨站点脚本攻击(Cross Site Script),为不和层叠样式表(Cascading Style Sheets, CS
XSS-LABS 1-19
qq_52988816的博客
11-20 1827
之前学习xss时用过,发出来与大家交流 介绍 XSS,全称跨站脚本,XSS跨站脚本(Cross-Site Scripting,XSS(与css-层叠样式表冲突,所以命名为xss)),某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要注意的是,XSS不仅仅扩展JavaScript,还包括flash等其他脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS 首先介绍一下xss-lab,xss-lab是一个用于
网络安全技术课程.pdf
05-05
适合入门学习网络安全人群,总共有258页,含实战。 目录: 第1章 信息收集 第2章 SQL注入攻击 第3章 xss跨站脚本攻击 第4章 后台弱口令 第5章 命令执行 第6章 文件上传漏洞 第7章 结语
网络安全培训方案.docx
07-09
网络安全培训方案 网络安全培训方案全文共8页,当前为第1页。网络安全培训方案全文共8页,当前为第1页。培训方案 网络安全培训方案全文共8页,当前为第1页。 网络安全培训方案全文共8页,当前为第1页。 对学生知识的...
网络安全培训方案.doc
07-09
9)、深入了解各类SQL注入漏洞的原理、攻击手段及加固措施 10)、掌握上传漏洞、命令执行漏洞、XSS漏洞等常见Web漏洞的利用方式及技巧 11)、掌握各类提权方法 12)、掌握各类第三方插件/程度的漏洞利用方法 考试及...
web安全之登录框渗透骚姿势,新思路
qq_47289634的博客
05-10 628
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
HCIP-Datacom-ARST自选题库_02_网络安全【道题】
最新发布
2301_80961833的博客
05-20 656
为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址,过滤掉非法MAC地址。中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害,且在内网中比较常见,为了防止中间人攻击或IP/MACSpoofing攻击,可以采取以下哪些配置手段?多远题461/805、为了防止仿冒DHCP服务器接入网络,可以在交换机上开启DHCP Snooping功能,配置步骤包括以下哪些选项?开启DHCP Snooping检查DHCP REQUEST报文中CHADDR字段的功能。
了解网络安全行业内有哪些公司?
aheyor的博客
05-14 943
https://wenku.baidu.com/view/8de38c790440be1e650e52ea551810a6f424c80f?aggId=f2f58cc8e618964bcf84b9d528ea81c758f52ecc&fr=catalogMain_text_ernie_recall_feed_index%3Awk_recommend_main4&_wkts_=1715651666515&bdQuery=%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85
Web安全:企业如何抵御常见的网络攻击?
m0_66326520的博客
05-16 680
针对网站的攻击有多种形式,攻击者既可以是业余黑客,也会是协同作战的职业黑客团伙。最关键的一条建议,就是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会造成严重后果。虽然不可能完全消除网站攻击风险,但你至少可以缓解遭攻击的可能性和攻击后果的严重性。遭受攻击后,不仅需要及时的响应处置还需要避免同类事件的发生,因此事后的复盘分析尤为重要,做好安全防护才是最高效的网络攻击解决方案。
你作为网络安全领域的专家,单独并详细解释一下OWASP Top 10
05-20
4. 不安全的网络服务(Security Misconfiguration):Web应用程序或Web服务器的配置错误,导致敏感信息泄露、攻击者获得未经授权的访问等问题。 5. 敏感数据泄露(Sensitive Data Exposure):Web应用程序未能正确...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值