渗透测试XSS跨站漏洞input输入js特殊字符过滤

最新推荐文章于 2024-06-20 11:54:07 发布
置顶 最新推荐文章于 2024-06-20 11:54:07 发布
阅读量5.6k 收藏 8
点赞数 2
分类专栏: JS 文章标签: XSS 渗透测试 js特殊字符过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1604914398/article/details/90041501
版权

修复建议:建议对用户得输入与输出进行过滤,过滤一些比较危险得标签和关键字,如<script></script>、alert等

代码如下:在input输入框加入onblur事件;定义οnblur="checkText('id',this.value)";id为文本框DOM id 属性

//验证文本框输入特殊字符
function checkText(id,text){//xss攻击特殊字符过滤
		var arr=new Array();
		arr=["alert","eval","<script>","</script>","onblur","onload","onfocus","onerror","onclick","onMouseOver",
		     "onMouseOut","onSelect","onChange","onSubmit","console","href",
		     "<iframe>","</iframe>","<img>","</img>","<iframe>","</iframe>","<video>","</video>",
		     "<canvas>","</canvas>","<label>","</label>","<span>","</span>","document","location","javascript"];
		$.each(arr,function(index,value){
			if(text.indexOf(value)!=-1){
				layer.msg("输入信息包含"+value+"特殊字符", {
	 				icon : 5,
	 				anim : 5,
	 				time : 1000,
	 				shade : 0.5
	 			});
				$('#'+id).val("");
	 			$('#'+id).focus();
			    return false; 
			}
		});
	}

 

a1604914398
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
特殊字符过滤,防止xss攻击
weixin_30809333的博客
08-16 1712
概念 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 项目环境 spring + struts2 +.....(仅列举相关的) 需求 防止xss攻击 分析 1.防止xss攻击,可以从...
防止xss和sql注入:JS特殊字符过滤正则
10-27
为了防止XSS攻击,我们需要对用户输入进行净化,过滤掉可能导致脚本执行的特殊字符。 接着,我们来看SQL注入。SQL注入是攻击者通过在输入数据中插入恶意SQL语句,使得数据库执行预期的操作,可能泄露敏感数据或...
js 前端处理xss攻击,对危险的字符串进行过滤
PrimaryColor
04-01 6088
es6: npm install xss --save 这里测试使用的是es5,下载链接: https://download.csdn.net/download/qq_42740797/16291859 https://raw.githubusercontent.com/leizongmin/js-xss/master/dist/xss.js过滤的比较严重,将html的所有属性都给过滤了) 调用函数: function filterXSS(string) html: <!.
xss特殊字符拦截与过滤
04-01
滤除content中的危险 HTML 代码, 主要是脚本代码, 滚动字幕代码以及脚本事件处理代码
Web渗透:XSS-反射型&存储型
最新发布
WolvenSec的博客
06-20 998
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,它允许攻击者将恶意脚本注入到网页中,其他用户在浏览这些页面时,可能会执行这些恶意脚本,从而导致各种安全问题,如窃取用户信息、会话劫持等。
xss过滤特殊字符
BusyMonkey
06-19 6004
xss过滤特殊字符
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_30897079的博客
01-05 207
一、什么是XSS攻击XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本...
在SpringMVC中使用过滤器(Filter)过滤容易引发XSS的危险字符
weixin_33949359的博客
12-07 229
一 简介如题所示,如果不在服务端对用户的输入信息进行过滤,然后该参数又直接在前台页面中展示,毫无疑问将会容易引发XSS***(跨站脚本***),比如说这样:form表单中有这么一个字段:<inputtype="text"id="author"name="author"placeholder="昵称"/>然后潜在***者在该字段上填入以下内容:<sc...
input 禁止输入特殊字符的四种实现方式
11-24
<span xss=removed>昨天项目搜索的时候报错,蛋疼的是生产库中的,看了下日志,原因是用户搜索的时候输入特殊字符,没办法最快捷的办法是直接把用户输入的数据进行筛选,去掉特殊字符 有些特殊字符传入到后台是会...
web存储性跨站脚本漏洞验证特殊字符和语句
01-08
这是存储性跨站脚本验证的一些特殊语句,可以用来查看内网、系统、app、web是否存在XSS漏洞
存储型跨站脚本漏洞过滤特殊字符, SpringMvc防范XSS攻击。
weixin_42267411的博客
09-26 2110
公司最近在搞测试,请的第三方测试机构。。。一顿操作猛如虎。。。 记录一次现在很多项目都容易忽略的存储型跨站脚本漏洞处理,就是XSS攻击漏洞,只要有用户输入的地方,就可能会有XSS漏洞,比如我们在留言板,或者发布文章的地方输入: <script>alert(1);</script> 当这条数据被存储到数据库,并且在页面上再次显示的时候,就会弹窗输出“1”,这只是简单的sc...
Input XSS最新漏洞及利用
06-12
我们知道,如果要使XSS能够实现,我们的代码必须通过某种方式嵌入到对方的网页中。像注入漏洞的“’”、“and 1=1”和“and 1=2”一样,Input XSS也有自己的漏洞检测字符串,它们就是“<>”、“<iframe>”和 “<script>alert(/xss/)</script>”。如果当你在Input框中输入“<>”,并在新 页面的源代码中找到这对标签的话,那么基本上就说明它存在Input XSS漏洞;而“<iframe>”则是它的可视化检测方式;如果“<script>alert(/xss/)< /script>”能够实现,则证明该页面可以实行脚本攻击,但是否可以被插入脚本,在本次的测试里亦不是常重要,后面你将会知道。
跨站脚本攻击字符过滤
07-25
用这个办法,可以过滤输入中含有 % [ ] { } ; & + - " ( ) 的这些字符
Javascript 输入xss注入 以及防范
Johnny Liao的博客
12-02 9241
注入 类似于sql注入,在输入内容上动手脚,然后造成标签闭合的现象,再写入恶意 的js; 例如: &lt;input type="text" value="$var"&gt; 输入的内容如果是 " onclick = "javascript_function()" &gt; 在遇到有字符限制的情况下,可以将两个input之间的内容注释掉, 再在之间构建恶意的js &lt;in...
input禁止输入html转义字符串,xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义...
weixin_39655689的博客
06-07 1083
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义XSS攻击的防范XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执行的代码,因此我们要对用户的输入进行HTML转义处理,将其中的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“&lt;”,“>”转义后为“&gt;”,“‘”转义后为“...
跨站漏洞防御——特殊字符转换
weixin_33720452的博客
09-28 212
2019独角兽企业重金招聘Python工程师标准>>> ...
保姆级教学 XSS攻击的过滤
m0_59206144的博客
06-07 1732
过滤策略:把特殊字符转为HTML实体编码, 这样存在数据库里较安全 返回给前端时会被js解析为正常字符,不影响查看
xss攻击突破转义_每周一喂丨3分钟快速了解防不胜防的XSS攻击
weixin_39589253的博客
11-21 347
XSS是一种出现在网页开发过程中的的计算机安全漏洞,而XSS攻击则是指通过利用这些遗留漏洞,将恶意指令代码注入到网页中,使用户加载并执行攻击者恶意制造的网页程序。一般情况下,攻击者制造的恶意网页是JavaScript,但其实Java、 VBScript、ActiveX、 Flash、甚至是普通的HTML都包括在内。如果攻击成功,则攻击者会得到目标的部分高级权限、私密网页、会话和cookie等各种内...
网络安全之基于过滤器防御xss脚本攻击
zyxpython的博客
05-07 715
过滤器和拦截器
防止xss和sql注入:js特殊字符过滤正则
11-10
防止XSS跨站脚本攻击)和SQL注入是开发者需要注意的安全问题。其中,JS特殊字符过滤正则可以作为一种方法来防止XSS攻击。 XSS攻击是指攻击者通过注入恶意脚本代码,使目标网站在用户浏览时执行这些脚本,从而达到攻击目的。为了防止XSS攻击,开发者可以使用JS特殊字符过滤正则表达式来过滤用户输入的数据。这个正则表达式可以识别并替换掉一些特殊字符,如<, >, &, ", '等。这样就可以防止用户输入的数据被误认为是HTML或JavaScript代码,并在网页中执行。 SQL注入则是指攻击者通过在用户输入的数据中注入恶意的SQL代码,从而对数据库进行法操作或获取敏感信息。为了防止SQL注入,开发者需要对用户输入的数据进行严格的过滤和转义。可以使用JS特殊字符过滤正则表达式来过滤用户输入的数据,避免特殊字符被误认为是SQL代码的一部分,从而防止注入攻击的发生。 需要注意的是,JS特殊字符过滤正则表达式只是防止XSS和SQL注入的一种方式,而并全面解决这些安全问题的方法。开发者还应结合其他安全措施,如限制用户输入的长度和类型、使用参数化查询等,来提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值