恶搞你的同学——记xss攻击解释

最新推荐文章于 2024-04-29 11:06:38 发布
最新推荐文章于 2024-04-29 11:06:38 发布
阅读量374 收藏 3
点赞数 7
分类专栏: web那些事 文章标签: xss html javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Elanx4/article/details/137889115
版权

前言

这次的灵感来源是易加学院欢迎您!icon-default.png?t=N7T8https://college.sipedu.org/

这样一个苏州工业园区专用的教学网站
(为了写文章自报家门了)

没想到这种园区教育局专门的网站还有xss漏洞

简直是……

为我们无限的编程创意着想啊! 

这次的罪魁祸首是一个名叫“我的文件柜”的功能

就像这样

里面可以放txt文档,但是这里预览的时候有玄机……

有什么漏洞

在这里得先解释什么是xss漏洞

xss名片
全称Cross Site Scripting
方式浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行

 mdn对xss的介绍:Cross-site scripting(跨站脚本攻击) - MDN Web 文档术语表:Web 相关术语的定义 | MDN (mozilla.org)icon-default.png?t=N7T8https://developer.mozilla.org/zh-CN/docs/Glossary/Cross-site_scripting

 易加学院有txt预览功能,就像这样:

但是这里没有设置过滤

当我们写一个带有JavaScript的文本文档上传时

文本内容就像这样:

 

 我们可以发现

脚本被执行了

注意看右侧标黄的部分,就能知道这里是如何解析的

很显然没有任何过滤,代码被直接放在网页里,自然而然就执行了

好巧不巧,文件柜里的文件是可以组内共享的

那么……

我们是不是可以给同学一个惊喜?

…………(自行探索)

如何避免xss

这个可以自行搜索

我讲两个常用的、最基础的:

1.对“<”和“>” 编码

2.链接中过滤掉“JavaScript”、“javascript”、“JAVASCRIPT”等字段

结语

今天就讲这么多,希望你能对xss有更直观的基础了解

再见ヾ( ̄▽ ̄)Bye~Bye~

(明天春游😁)

Elanx4
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
预防XSS攻击和SQL注入XssFilter
05-19
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是...
前端安全攻防——XSS攻击和防御详解
weixin_34102807的博客
03-14 221
为什么80%的码农都做不了架构师?>>> ...
ctf课堂小练——web 杂项 xss攻击 图片隐写基础训练
qq_56074599的博客
09-14 1061
ctf课堂小练——web 杂项 xss攻击 图片隐写基础训练
Laravel 项目的 XSS 攻击解决方案
Mr_Lewis的博客
01-09 3142
一、XSS概述 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 一种比较常见的 XSS 攻击是 Cookie 窃取。我们都知道网站是通过 Cookie 来辨别用户身份的,一旦恶意攻击者能在页面中执行...
XSS漏洞——渗透day08
qq_62716256的博客
09-04 509
XSS漏洞——渗透day08
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
pikachu-xss
2303_81631620的博客
04-23 514
按原本的做法,应该先写一个script标签测试一下,但是发现有字符限制。
html写一个旋转菜单
liulang68的博客
04-24 910
【代码】用html写一个旋转菜单。
Web前端开发之HTML_3
zx1026409886的博客
04-23 997
表单在Web网页中用来给用户填写信息,从而采集用户信息,使网页具有交互功能。所有的用户输入内容的地方都用表单来写,如登录注册、搜索框。表单是由容器和控件组成的,一个表单一般应包含用户填写信息的输入框,按钮等,这些输入框、按钮叫做控件,表单就是容器,它能够容纳各种各样的控件。
基于java,SpringBoot和HTML实验室预约管理系统设计
程序猿大波的博客
04-23 621
本研究旨在设计并实现一个基于Java, Spring Boot和HTML的实验室预约管理系统,以解决实验室资源分配不均、管理混乱和预约流程繁琐等问题。系统采用B/S架构设计,后端使用Spring Boot框架进行开发,前端使用HTML进行页面设计,实现了用户登录、实验室预约、查看预约状态以及管理员对实验室的管理等功能。首先,系统通过Spring Boot实现了快速开发和部署,简化了项目的配置和管理。
html画一个四叶草
liulang68的博客
04-20 1606
以上是部分代码,需要请看主页加联系方式。
CSS中的圆角和阴影
小何代码咖啡馆
04-21 1086
在 CSS3 中,新增了圆角边框样式,这样我们的盒子就可以变圆角了。(必需值)水平阴影(horizontal shadow),可以为负值。(必需值)水平阴影(horizontal shadow),可以为负值。(必需值)垂直阴影(vertical shadow),可以为负值。(必需值)垂直阴影(vertical shadow),可以为负值。(可选值)将外(盒子的背面)阴影改为内(盒子之上)阴影。CSS3 中新增了盒子阴影,可以使用。属性为盒子添加阴影。(可选值)阴影模糊程度。(可选值)阴影模糊程度。
html ai问答
qq_50437196的博客
04-23 582
HTML中,`text-align: center` 属性是用来设置内联内容(比如文本或链接)在其块级容器(比如`<div>`, `<p>`, 或 `<h1>` 等)内部水平居中的。- `$("p span")`会选择所有位于`p`元素内的`span`元素,无论`span`元素嵌套在`p`元素内部的深度如何。在这个例子中,尽管 `text-align: center` 是应用在 `<h1>` 上的,但 `<span>` 作为内联元素会继承这个对齐方式,从而使得其中的文本居中。
python爬虫 - 爬取html中的script数据(36kr.com新闻信息)
BullKing8185的博客
04-23 507
python爬虫 - 爬取html中的script数据(36kr.com新闻信息) 1. 分析页面内容数据格式 2. 使用re.findall方法,爬取新闻 3. 使用re.search 方法,爬取新闻
html如何实现按钮跳转,以及访问随机跳转
最新发布
weixin_42759398的博客
04-29 203
html如何实现按钮跳转,以及访问随机跳转。需求看似很冷门,实际上这个对应我上一篇文章。
什么是 XSS 攻击?如何防范 XSS 攻击?
06-07
XSS(Cross-Site Scripting,跨站脚本攻击)指的是攻击者利用网站漏洞,将恶意脚本代码注入到网页中,使得其他用户在访问该页面时,恶意脚本会被执行,从而导致攻击者窃取用户的敏感信息或者利用用户的身份进行其他攻击。 XSS 攻击主要有两种方式:反射型 XSS 和存储型 XSS。反射型 XSS 攻击是指攻击者将恶意脚本代码作为参数传递给网站,网站在返回结果时,将恶意脚本代码反射到了用户的浏览器中执行;存储型 XSS 攻击是指攻击者将恶意脚本代码存储到网站的数据库中,其他用户在访问该网站时,恶意脚本代码会从数据库中读取并执行。 为了防范 XSS 攻击,可以采取以下措施: 1. 过滤用户输入数据,对特殊字符进行转义或者过滤。 2. 对于需要展示用户输入数据的地方,使用白名单机制,只允许特定的 HTML 标签和属性出现。 3. 在网站中添加 CSP(Content Security Policy)策略,限制页面的资源加载和执行。 4. 对于需要展示富文本的地方,使用安全的富文本编辑器,并且对富文本内容进行过滤和转义。 5. 将 Cookie 设置为 HttpOnly,防止脚本代码获取 Cookie 值。 6. 对于需要使用 JavaScript 的地方,使用框架提供的 API,避免直接使用 eval 函数等危险函数。 7. 定期对网站进行漏洞扫描和渗透测试,及时发现和修复漏洞。 综上所述,防范 XSS 攻击需要综合采取多种措施,包括对用户输入数据的过滤、使用白名单机制、添加 CSP 策略、安全的富文本编辑器、设置 HttpOnly Cookie、避免危险函数的使用等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Elanx4

感谢支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值