很多博客都存在的跨站漏洞!

最新推荐文章于 2024-07-09 17:32:45 发布
最新推荐文章于 2024-07-09 17:32:45 发布
阅读量948 收藏
点赞数
分类专栏: 笔记 文章标签: iframe 百度 测试 c
转自 啊D的博客 
此漏洞在 search.asp 模块过滤不严造成的!



测试的内容这次是输入  <iframe src=http://www.baidu.com></iframe>
之后按“查找”



将会发现,百度给套到网页里了! 呵,这表明跨站是成功的!

还试了两个朋友的站
1。


2。



其实这个漏洞很早就人发现的,但好像没人理会!

但有意的伪造,利用还是不小的!

http://www.xxxx.net/search.asp?SearchContent=<iframe src=http://www.baidu.com></iframe>&searchType=title

改成

http://www.xxxx.net/search.asp?SearchContent=%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%77%77%77%2E%62%61%69%64%75%2E%63%6F%6D%3E%3C%2F%69%66%72%61%6D%65%3E&searchType=title

对于自己网站的网址,很多人都不会在意,也看不出连接的内容是什么,如果改为木马的内容,再把iframe的高度和宽度改为0,就不显示了!
这样给种马了都不知什么事了!

又或者利用管理员点击你的连接,做点管理员可以做的事,但可以做什么事,我就没有深究了!


解决方法:
找到  关键词 <b><%=SearchContent%>
改为  关键词 <b><%=HTMLEncode(SearchContent)%>

可能有些博客有些不同,请自己看着办吧!
Xy4Ever
关注
专栏目录
20-1 XSS(脚本攻击)漏洞介绍
weixin_43263566的博客
01-07 1161
XSS(脚本攻击)是一种常见的计算机安全漏洞,也是Web应用中最主流的攻击方式之一。它利用网接收用户提交数据时未进行足够的转义处理或过滤不足的缺点,将恶意代码嵌入到Web页面中。当其他用户访问该页面时,嵌入的代码会被执行,从而导致盗取用户资料、利用用户身份进行某种动作或对访问者进行病毒侵害等恶意行为。XSS攻击通常基于JavaScript完成,因为JavaScript能够灵活地操作HTML、CSS和浏览器,给了XSS攻击带来了很大的灵活性。
url存在宽字节漏洞_脚本 (XSS)
weixin_39783633的博客
11-30 435
本部分,我们将解释什么是脚本,描述各种类型的脚本漏洞的不同点,并阐明如何查找和防止脚本。什么是脚本 (XSS)脚本是一种允许攻击者破坏用户与易受攻击的应用程序之间交互的网页安全漏洞。它允许攻击者规避相同的同源策略,该策略旨在将不同的网彼此隔离。脚本漏洞通常允许攻击者伪装成受害者用户,执行用户可以执行的任何操作以及访问用户的任何数据。如果受害者用户具有在应用程序中的特权访问...
入侵博客漏洞
河北正定欢迎您-少占鱼
10-23 1015
入侵博客漏洞2007-03-20 15:52博客,曾是涂鸦文字、倾吐心事的天堂。如今,面对自身的漏洞、黑客的攻击,这个精神的殿堂坍塌了……  本期,我们会结合实例对博客中的四大漏洞进行介绍,希望能使更多的人关注博客的安全问题。入侵博客太简单  对于网、论坛之类的网页程序来说,由于它们建立在大中型的网服务器上,早已经过多次黑客攻击的洗礼,因此一般来说很少存在着明显的漏洞。  而博客(Blog)则
绿盟科技扫描出JavaWeb项目的一些漏洞
最新发布
m0_58571759的博客
07-09 398
该问题是由于项目中用的jQuery版本太低的问题,升级Jquery版本为3.6.1,因为升级之后的版本不兼容之前的版本,需要引入JQuery提供的jQuery Migrate v3.4.0。已上三点的解决方案主要是给项目配置过滤器,将URL中的特殊字符过滤掉。但是其中还会存在一些兼容性问题,在引入之后引入一些改写的方法。CookieHttpOnlyFilter.java文件。1、检测到目标URL存在宽字节漏洞。2、检测到目标URL存在框架注入漏洞。3、检测到目标URL存在链接注入漏洞
安全漏洞汇总50篇博客
慕白Lee的博客
09-12 631
Flash AllowScriptAccess 参数:https://blog.csdn.net/libusi001/article/details/94877113 登录注册明文不安全:https://blog.csdn.net/libusi001/article/details/94877897
四大漏洞将毁灭博客
要饭's Blog
07-01 1832
文章作者:liwei001     文章来源:赛迪网 博客,曾是涂鸦文字,倾吐心事的天堂。如今,面对自身的漏洞,黑客的攻击,这个精神的殿堂坍塌了......本期,我们会结合实例对博客中的四大漏洞进行介绍,希望能使更多的人关注博客的安全问题入侵博客太简单   对于网,论坛之类的网页程序来说,由于它们建立在大中型的网服务器上,早已经过多次黑客攻击的洗礼,因此一般来说很少存在明显的漏洞。   而博客
Z-blog csrf漏洞学习
m0_62970186的博客
04-03 2650
文章目录Z-blog csrf环境搭建数据包构造漏洞利用抓包绕过放包结果简单代码分析实战利用思路: Z-blog csrf 环境搭建 1. 首先我在本地搭了一个z-blog。 ​ 思路:csrf并不侧重于哪种功能点,只要检测不规范,就可能利用成功,所以我考虑了一下后台添加管理员的地方。 数据包构造 我用了csrftext这款工具,抓包构造了一个数据包。 3. 获得的数据包如下 可以发现是我提交的数据。 漏洞利用 将数据包放在了我的vps上。 ) 5. 新建页面访问ur
XSS脚本漏洞简介、原理及防护方法
m0_54899775的博客
03-21 7900
XSS脚本漏洞简介、原理及防护方法 XSS漏洞原理及防护
WEB漏洞篇——脚本攻击(XSS)
m0_56634355的博客
06-05 4728
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
网络安全基础技术扫盲篇 — 常见web漏洞之XSS脚本攻击
2401_84301853的博客
04-27 838
知识宝库在此藏,一键关注获宝藏首先我们了解一下原理,用一句话概括就是。在Web应用中,前端代码主要包括HTML、CSS和JavaScript。:HTML 用于描述网页的结构和内容,包括标签、元素、属性等。前端骨架(有很大关系,但不是该漏洞的利用核心)。:CSS用于定义网页的样式和布局。美化作用(和渗透关系不大):JavaScript是一种客户端脚本语言,用于实现动态效果和与用户的交互。恶意的JavaScript代码可以直接在用户的浏览器中执行,导致XSS攻击的发生。
[网络安全自学篇] 七十八.XSS脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。希望您喜欢~
漏洞
u010139452的博客
02-28 767
漏洞   漏洞是由于程序员在编写程序时对用户提交的数据没有做充分的合规性判断和进行HTML编码处理,直接把数据输出到浏览器客户端,这样导致用户可以提交一些特意构造的脚本代码或HTML标签代码,并在输出到浏览器时被执行。黑客利用漏洞输入恶意的脚本代码,当恶意的代码被执行后就形成了所谓的攻击。一般来说对于人机交互比较高的程序,比如论坛,留言板这类程序都比较容易进行攻击。
目标URL存在漏洞和目标URL存在http host头攻击漏洞处理方案
Learn_1992的博客
10-26 1015
查看:↓ https://www.cnblogs.com/ios9/p/7691540.html
我的第一次真实对国外某购物平台web漏洞挖掘
热门推荐
M1n9K1n9的博客
01-24 1万+
这是我第一次,真实世界的web漏洞挖掘(csrf + xss)虽然这两个漏洞都比较简单,但这是我第一次的真实漏洞挖掘,当然要记录一下,哪怕再简单虽然这两个漏洞都比较简单,但这是我第一次的真实漏洞挖掘,当然要记录一下,哪怕再简单虽然这两个漏洞都比较简单,但这是我第一次的真实漏洞挖掘,当然要记录一下,哪怕再简单这次漏洞挖掘是无意的,这是我在做题的时候,题目需要我进行信息收集,我收集到相关的一个网,于是在这个网多看了几眼,发现了漏洞查看源代码源代码:在源代码中发现这一个url。
检测到目标url存在宽字节漏洞_通用型漏洞审计浅析
weixin_39844426的博客
12-08 1300
一次性付费进群,长期免费索取教程,没有付费教程。进微信群回复公众号:微信群;QQ群:460500587教程列表见微信公众号底部菜单 |本文底部有推荐书籍微信公众号:计算机与网络安全ID:Computer-network安全漏洞审计,作为扫描器的核心功能,会告诉扫描器如何去检测和审计漏洞。它可以看作扫描器的大脑,通过对每一种漏洞进行场景化学习,从中提取漏洞的扫描特征,将其存储到扫...
url存在宽字节漏洞_CWE Top1脚本漏洞安全研究
weixin_39785723的博客
11-30 292
CWE(Common WeaknessEnumeration,通用缺陷枚举)是由MITRE公司维护的一个通用软件和硬件缺陷类型的列表。CWE列表首次发布于2006年,主要关注软件漏洞。近年来,随着工业控制系统、医疗设备、汽车、可穿戴设备的发展,硬件安全问题成为企业IT、OT的关注点,于是在2020年CWE列表中增加了硬件漏洞。软件和硬件的缺陷严重程度使用常见缺陷评分系统(CWSS)和常见...
Web漏洞处理--http host头攻击漏洞处理方案/检测到目标URL存在宽字节漏洞/ 检测到目标URL存在SQL注入漏洞
wjs040的博客
06-18 4438
1.配置web 拦截器 <filter> <filter-name>XssSqlFilter</filter-name> <filter-class>com.modules.sys.security.SessionFilter</filter-class> //拦截器的位置 </filter>...
深入探究宽字节注入漏洞与修补原理
zl20117的博客
12-13 2654
0、前言 最近要为了自动化审计搜集所有PHP漏洞,在整理注入的时候,发现宽字节注入中使用iconv造成的漏洞原理没有真正搞懂,网上的文章也说得不是很清楚,于是看了荣哥(lxsec)以前发的一篇http://www.91ri.org/8611.html,加上我们两个人的讨论,最终有了这一篇深入的研究成果。 1、概述 主要是由于使用了宽字节编码造成的。 什么是字符集? 计算机显示的字
博客大巴脚本漏洞实例详解及防范策略
第一个漏洞出现在“个人信息设置”的“附加信息”部分,由于过滤不严,用户可以在博客首页实施攻击。第二个漏洞则需要登录后台才能触发,但价值不大。此外,作者还发现了五个模板相关的漏洞,这些漏洞可能早...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值