恶搞你的同学——记xss攻击解释

最新推荐文章于 2024-07-25 11:52:08 发布
最新推荐文章于 2024-07-25 11:52:08 发布
阅读量391 收藏 3
点赞数 7
分类专栏: web那些事 文章标签: xss html javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Elanx4/article/details/137889115
版权

前言

这次的灵感来源是易加学院欢迎您!icon-default.png?t=N7T8https://college.sipedu.org/

这样一个苏州工业园区专用的教学网站
(为了写文章自报家门了)

没想到这种园区教育局专门的网站还有xss漏洞

简直是……

为我们无限的编程创意着想啊! 

这次的罪魁祸首是一个名叫“我的文件柜”的功能

就像这样

里面可以放txt文档,但是这里预览的时候有玄机……

有什么漏洞

在这里得先解释什么是xss漏洞

xss名片
全称Cross Site Scripting
方式浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行

 mdn对xss的介绍:Cross-site scripting(跨站脚本攻击) - MDN Web 文档术语表:Web 相关术语的定义 | MDN (mozilla.org)icon-default.png?t=N7T8https://developer.mozilla.org/zh-CN/docs/Glossary/Cross-site_scripting

 易加学院有txt预览功能,就像这样:

但是这里没有设置过滤

当我们写一个带有JavaScript的文本文档上传时

文本内容就像这样:

 

 我们可以发现

脚本被执行了

注意看右侧标黄的部分,就能知道这里是如何解析的

很显然没有任何过滤,代码被直接放在网页里,自然而然就执行了

好巧不巧,文件柜里的文件是可以组内共享的

那么……

我们是不是可以给同学一个惊喜?

…………(自行探索)

如何避免xss

这个可以自行搜索

我讲两个常用的、最基础的:

1.对“<”和“>” 编码

2.链接中过滤掉“JavaScript”、“javascript”、“JAVASCRIPT”等字段

结语

今天就讲这么多,希望你能对xss有更直观的基础了解

再见ヾ( ̄▽ ̄)Bye~Bye~

(明天春游😁)

Elanx4
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS漏洞——渗透day08
qq_62716256的博客
09-04 542
XSS漏洞——渗透day08
java%3c%3e如何转义_如何让前端更安全?——XSS 攻击和防御详解
weixin_42362491的博客
02-28 1188
最近深入了解了一下XSS攻击。以前总肤浅的认为XSS防御仅仅只是输入过滤可能造成的XSS而已。然而这池子水深的很呐。1,XSS的类型总体来说,XSS分三类,存储型XSS、反射型XSS、DOM-XSS。1.1、存储型XSS数据库中存有的存在XSS攻击的数据,返回给客户端。若数据未经过任何转义。被浏览器渲染。就可能导致XSS攻击;1.2、反射型XSS将用户输入的存在XSS攻击的数据,发送给后台,后台并...
前端安全攻防——XSS攻击和防御详解
weixin_34102807的博客
03-14 225
为什么80%的码农都做不了架构师?>>> ...
ctf课堂小练——web 杂项 xss攻击 图片隐写基础训练
qq_56074599的博客
09-14 1163
ctf课堂小练——web 杂项 xss攻击 图片隐写基础训练
Laravel 项目的 XSS 攻击解决方案
Mr_Lewis的博客
01-09 3233
一、XSS概述 XSS 也称跨站脚本攻击 (Cross Site Scripting),攻击者往 Web 页面里插入意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到攻击用户的目的。 一种比较常见的 XSS 攻击是 Cookie 窃取。我们都知道网站是通过 Cookie 来辨别用户身份的,一旦攻击者能在页面中执行...
XSS篇——javascript:伪协议
weixin_50464560的博客
05-07 6180
一、前言 今天,遇到一个别人挖的坑,问题是这样的。 做了一个列表页,可以筛选数据,有很多筛条件。主要是有input复选框和<a>标签两种。如图:     其中房价的筛选条件使用<a>标签,代码如下 1 <a href="javascript:;" name="price">150元-300元</a>   用javascript:; 来阻止了a标签跳转链接。 但是,却发现在IE下面点击a标签,居然清除了其他input复选框.
如何让前端更安全?——XSS攻击和防御详解
热门推荐
wf2017的博客
02-17 1万+
web安全学习
csrf和xss攻击
企鹅漫步
03-02 848
XSS:跨站脚本(Cross-site scripting)   CSRF:跨站请求伪造(Cross-site request forgery)   在那个年代,大家一般用拼接字符串的方式来构造动态SQL 语句创建应用,于是SQL 注入成了很流行的攻击方式。在这个年代,参数化查询已经成了普及用法,我们已经离SQL 注入很远了。但是,历史同样悠久的XSS 和CSRF 却没有远
Web安全之XSS跨站脚本攻击_超链接xss(2)
2401_84297944的博客
04-28 605
点击“write”按钮后,会在当前页面插入一个超链接,其地址为文本框的内容。
ASP毕业设计——同学录ASP.zip
11-02
7. **安全性考虑**:包括防止SQL注入、XSS攻击等,确保用户数据安全。 8. **性能优化**:如缓存策略、减少数据库查询等,提升系统性能。 综上所述,ASP毕业设计“同学录”项目涵盖了Web开发的多个方面,不仅涉及...
tongxuelu.rar_java 同学录_tongxuelu_同学
09-19
同时,为了防止SQL注入和XSS攻击,系统会进行输入验证和数据过滤,保证系统的健壮性。 在开发过程中,开发团队可能会使用Spring Boot框架,它简化了Java Web应用的开发流程,提供了自动配置、依赖注入等特性,使得...
ASP.NET源码——[交友会员]小E单班同学录系统.net.zip
10-10
【ASP.NET源码——[交友会员]小E单班同学录系统】 ASP.NET是一个由微软开发的开源Web应用程序框架,用于构建动态网站、web应用和web服务。此源码是针对一个名为“小E单班同学录系统”的交友会员平台,它可能是用于...
ASP实例开发网站源码——测试完整的适合做单个学校同学录网站源码.zip
10-17
5. 安全性与优化:学习如何防止SQL注入、XSS攻击,以及如何优化ASP代码以提高性能和减轻服务器负载,如使用存储过程、缓存常用数据、合理设计数据库结构等。 这个同学录网站源码实例可以帮助初学者理解ASP开发的...
ASP.NET源码——[交友会员]Asp.net校友录(同学录)系统源码.zip
10-10
本压缩包文件“ASP.NET源码——[交友会员]Asp.net校友录(同学录)系统源码.zip”包含了一个完整的校友录(同学录)系统的源代码,适用于学习ASP.NET技术以及了解如何构建会员制社交应用。 这个源码项目主要涵盖了...
一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 594
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
基于 HTML+ECharts 实现的大数据可视化平台模板(含源码)
柯晓楠
07-24 3361
大数据的可视化对于企业决策、市场分析和业务洞察至关重要。通过直观的数据展示,团队可以快速理解复杂的数据模式,发现潜在的业务机会。本文将详细介绍如何利用 HTML 和 ECharts 实现一个功能丰富的大数据可视化平台模板。
【HTML】iframe
小秀的博客
07-24 395
标签是 HTML 中的⼀个元素,⽤于在当前 HTML ⽂档中嵌⼊另⼀个 HTML ⽂档。它可以在⼀个 HTML ⻚⾯中嵌⼊另⼀个 HTML ⻚⾯或其他类型的⽂档,⽐如 PDF ⽂件或视频⽂件。其中 src 属性指定要嵌⼊的⽂档的 URL,可以是⼀个 HTML ⻚⾯、⼀个 PDF ⽂件或⼀个视频⽂件等等。通过设置 width 和 height 属性可以指定。
iframe 渲染请求到的 html (邮件预览), 避免样式污染 + 打印 iframe 邮件详情 + iframe 预览邮件时固定水平滚动条在视口底部
最新发布
汤一飞
07-25 1073
iframe 预览邮件 + 打印邮件 + 模拟滚动条
基于 HTML+ECharts 实现监控平台数据可视化大屏(含源码)
柯晓楠
07-24 1149
我们实现了一个基于 HTML 和 ECharts 的监控平台数据可视化大屏。这个大屏不仅能够直观地展示监控数据,还能通过交互功能提升用户体验。希望本文能对你在实现类似项目时提供一些帮助和启发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Elanx4

感谢支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值