登陆页面用户名输入框存在XSS跨站漏洞

最新推荐文章于 2024-08-26 10:50:52 发布
最新推荐文章于 2024-08-26 10:50:52 发布
阅读量3.7k 收藏 5
点赞数 1
分类专栏: XSS攻击 java 文章标签: XSS攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Seeyou_y/article/details/102520038
版权

跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码。

成功的跨站脚本攻击所带来的主要问题包括:

帐号劫持 - 攻击者可以在会话cookie过期之前劫持用户的会话,并以访问ULR用户的权限执行操作,如发布数据库查询并查看结果。

恶意脚本执行 - 用户可能在不知情的情况下执行攻击者注入到动态生成页面中的JavaScript、VBScript、ActiveX、HTML甚至Flash内容。

这里介绍一种方便的解决方案:
利用一个工具类过滤用户输入的敏感攻击字段
废话不多说直接把工具类的代码奉上

package com.bwton.util;

import org.apache.commons.lang3.StringUtils;

import java.text.CharacterIterator;
import java.text.StringCharacterIterator;

public class EncodeUtil {

    public static String HTMLEncode(String aText){
        if(aText==null){
            return null;
        }
        final StringBuilder result = new StringBuilder();
        final StringCharacterIterator iterator = new StringCharacterIterator(aText);
        char character =  iterator.current();
        while (character != CharacterIterator.DONE ){
            if (character == '<') {
                result.append("&lt;");
            }
            else if (character == '>') {
                result.append("&gt;");
            }
            else if (character == '&') {
                result.append("&amp;");
            }
            else if (character == '\"') {
                result.append("&quot;");
            }
            else {
                result.append(character);
            }
            character = iterator.next();
        }
        return StringUtils.replace(result.toString(),"/","").replace("\\","")
                .replace("+","").replace(",","").replace("=","")
                .replace("%","")
                .replace("&","").replace("'","")
                .replace("\"","").replace("?","").replace("(","")
                .replace(")","").replace("$","");
    }


}

然后下面就好说了,把前台拿到的user.username用工具类处理一下就可以了

user.setUsername(EncodeUtil.HTMLEncode(login.getUsername()));
WSYCJY
关注
专栏目录
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSSXSS靶场9道题目、如何防御XSS。希望您喜欢~
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
热门推荐
杨秀璋的专栏
10-12 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python弱口令攻击、自定义字典生成,并构建了Web目录扫描器;本文将详细讲解XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解,最后分享了如何预防XSS攻击。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的编程经验进行讲解。
一个登录框引发的“安全问题”
weixin_48421613的博客
06-03 3036
一个文本框可能存在哪些漏洞前言用户名枚举弱口令空口令登录认证绕过存在暴力破解风险图形验证码不失效短信验证码绕过短信验证码可暴力破解短信验证码可预测短信炸弹恶意锁定问题密码明文传输反射型跨站脚本攻击万能密码sql注入任意用户密码修改/重置目录遍历敏感文件信息泄漏框架漏洞SSO认证缺陷密码重置漏洞命令执行漏洞未授权访问 前言 搞安全的小伙纸面试的时候,面试官总是喜欢问一个问题,只有一个登录框你都能测试哪些漏洞? 通常大家测试的都是测试关键,为了有更好的测试效果,会提供给你用户名密码;但是一些比较重要的企业,
织梦CMS 登录页面的XSS 注入漏洞及处理
weixin_30606669的博客
07-12 1133
一、客户检测报告: 事件URL: http://127.0.0.1/mgr/login.php?gotopage=%22%3E%3Cinput%20type=%22text%22%20onInput=alert(1)%3E%3Cx=%22 事件类型:漏洞-KingCms门户系统存储型XSS 事件URL: http://127.0.0.1/mgr/login.php?gotopage=%2...
XSS漏洞注入,分类,防御方法
最新发布
2401_84618514的博客
08-26 360
XSS全称(Cross SiteScripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入。XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
登录漏洞
Grey的博客
08-06 7382
继上次登陆框引起的血案这个文章之后,时隔一个月笔者又写了续集,呃……升华版。 0×00 文章内容结构图 0×01 信息泄露 利用泄露的信息可以大大增加我们的可测试点,从而增加我们的成功率。 1. HTML源代码 必看的肯定要属HTML源代码了,源代码里包含了下面所说的JS文件。HTML源代码会泄露很多信息,像程序员未删除的注释、敏感路径等都可能在HTML源代码中找的到,从来增加发现漏...
XSS漏洞
F2444790591的博客
06-22 842
攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行,将用户的信息发送给攻击者。 反射型XSS也被称为非持久性XSS,是现在最容易出现的一种 XSS 漏洞。当用户访问一个带有XSS代码的URL请求时,服务器端接收数据后处理,然后把带有XSS 代码的数据发送到浏览器,浏览器解析这段带有XSS 代码的数据后,最终造成XSS 漏洞。这个过程就像一次反射,故称为反射型XSS。 允许用户存储数据
一个文本框可能存在哪些漏洞
tlovejr的博客
02-28 1193
一个文本框可能存在哪些漏洞 前言用户名枚举弱口令空口令登录认证绕过存在暴力破解风险图形验证码不失效短信验证码绕过短信验证码可暴力破解短信验证码可预测短信炸弹恶意锁定问题密码明文传输反射型跨站脚本攻击万能密码sql注入任意用户密码修改/重置目录遍历敏感文件信息泄漏框架漏洞SSO...
web 登录验证 xss csrf 跨域请求
王鹏亮 的专栏
01-16 4564
filter xss csrf
XSS (跨站脚本攻击) 分析与实战
a10534126的博客
02-23 1722
文章目录 一、漏洞原理 1、XSS简介: 2、XSS原理解析: 3、XSS的分类: 3.1、反射型XSS 3.2、存储型XSS 3.3、DOM型XSS 二、靶场实战 XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是最常见的 Web 应用程序安
渗透测试:XSS漏洞定义及防护
WEL测试
12-22 959
什么是XSS XSS(cross site script)或者说跨站脚本是一种web应用程序的漏洞,恶意攻击者往web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的。 跨站脚本漏洞风险 盗取用户cookie,然后伪造用户身份登录,泄露用户个人身份及用户订单信息。 操控用户浏览器,借助其他漏洞可能会导致对https加密信息的破解,导致登录传输存在安全风险。 结合浏览器及其插件漏洞,下载病毒木马到浏览器的计算机上执行。 修改页面内容
基于DVWA实现XSS跨站脚本漏洞-反射型、存储型、DOM XSS
weixin_44029504的博客
05-08 1243
什么是XSS跨站脚本漏洞 XSS跨站脚本(Cross-Site Scripting,XSSXSS最大的特点就是能注入恶意的HTML/JavaScript代码到用户浏览的网页上,是因WEB应用程序对用户输入过滤不足而产生的,当用户浏览这些网页时,就会执行其中的恶意代码。由于HTML代码和客户端JavaScript脚本能在受害者主机上的浏览器任意执行,这样等同于完全控制了WEB客户端的逻辑,在这个...
跨站脚本攻击漏洞XSS):基础知识和防御策略
weixin_43263566的博客
01-16 1万+
跨站脚本攻击漏洞-基础篇
XSS(跨站脚本攻击)漏洞理解
向上的"狼"的博客
07-16 2420
XSS(跨站脚本攻击)漏洞理解
XSS攻击
summer_fish的专栏
04-11 2536
前端有哪几种攻击方式? XSS攻击 CSRF攻击 点击劫持 URL跳转漏洞 什么是XSS攻击XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击。攻击者在目标网站上注入恶意代码,当用户(被攻击者)登录网站时就会执行这些恶意代码,通过这些脚本可以读取cookie,session tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈。 XSS的本质:恶意代码未经过滤,与网站的正常代码混在一起,浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。由于直接在
XSS漏洞原理和利用
VictorZhang
08-09 1万+
XSS漏洞原理和利用 1.XSS介绍及原理 XSS又叫CSS(Cross Site Script),跨站脚本攻击。它指的是恶意攻击者往Web页面 里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而 达到恶意的特殊目的。 利用我们所知道的各种黑魔法,向Web页面插入JS代码,让JS代码可以被浏览器执行, 访问该页面的用户则被攻击。 XSS漏洞分类 1.反射型 非存储型...
登录界面——渗你千千万万遍
m0_51581045的博客
04-20 7385
小菜鸡分享自己遇见登录界面的渗透测试思路,欢迎大佬们分享思路
网络安全学习:渗透测试钓鱼案例,夯实基础
kali_Ma的博客
09-02 2676
简介 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。 名言: 你对这行的兴趣,决定你在这行的成就! 2021最新整理网络安全\渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包)一>戳我拿<一 一、前言 网络钓鱼是社会工程学攻击方式之一,主要是通过对受害者心理弱点、本能反应、好奇心、信任、
一个登录框怎么做渗透测试_登录框渗透测试(1),软件测试开发学习视频
2401_83944560的博客
04-10 415
在对登录框进行漏洞扫描时,可以先手动构造一些常见的攻击载荷进行测试,例如SQL注入攻击载荷、XSS攻击载荷等,看看是否存在漏洞。测试目标确定后,需要了解目标网站的架构和技术,例如服务器的操作系统和版本、Web服务器的类型和版本、数据库的类型和版本等。在进行登录框的渗透测试时,需要综合使用多种方法和工具,以确保测试的全面性和准确性。在进行渗透测试前,需要明确测试目标和策略。其中,-u指定需要测试的URL,–data指定POST请求的数据,–level指定测试等级(1-5),–risk指定风险等级(1-3)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值