XSS跨站攻击

最新推荐文章于 2020-03-03 20:59:26 发布
最新推荐文章于 2020-03-03 20:59:26 发布
阅读量1.5k 收藏
点赞数
分类专栏: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feier7501/article/details/9165715
版权

jsp代码:

<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<%
	String name = request.getParameter("name");
%>
Welcome <%=name %><br>
</body>
</html>

在IE6上测试:


参数变为:

yang<script>alert('attacked')</script>

测试结果:



如果换成IE8,则会出现:


XSS跨站攻击被IE8阻止掉了。

修改IE的安全级别设置:


“启用XSS筛选器”改为“禁用”,这样XSS攻击就能成功了:



刚开始是在360安全浏览器上测试,一直没成功。我一开始怀疑是不是tomcat的问题。后来才发现是浏览器的问题,看来360浏览器还是相对比较安全的。

feier7501
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
关闭谷歌chrome xss过滤
syq1207的博客
06-09 1万+
在使用浏览进行xss测试时需要预先关闭xss过滤 chrome的关闭方法: 我的chrome安装目录在C:\Program Files (x86)\Google\Chrome\Application\chrome.exe,关闭方法是在命令行输入以下命令: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
IE8、IE9 的 XSS 筛选关闭方式、方法
machinecat0898的专栏
03-21 7548
从IE8开始就有XSS筛选,主要用于防御反射型跨站攻击,且是默认开启的.但由于它那暴力的检测方式(正则匹配)经常会影响到网站的正常业务功能,我想受此困扰的人一定不少,所以我建议大家都把它给关了. 如果你是站长请使用X-XSS-Protection响应头关闭: X-XSS-Protection: 0; X-XSS-Protection 是用于控制IE的XSS筛选用的HTTP 响应字
解决win10下浏览提示“浏览已对此页面进行了修改,以帮助阻止跨站脚本”问题
热门推荐
Ace_2的博客
11-14 1万+
1.在浏览的菜单中找到“工具”,点击打开“工具”的下拉菜单,选择“Internet选项”打开; 2.在弹出的“Internet 选项”窗口里,打开“安全”标签,找到该区域的安全级别下的“自定义级别”,点击打开; 3.然后在里面找到“启动XSS筛选”(在中间点),这时它应该是启用状态,将它禁用掉,然后确定保存; 4.刷新网页,解决! -------------...
使用浏览进行xss测试的时候需要关闭浏览xss filter
u012684933的专栏
03-23 1万+
chrome的关闭方法: 我的chrome安装目录在C:\Program Files (x86)\Google\Chrome\Application\chrome.exe,关闭方法是在命令行输入以下命令: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-xss-auditor
XSS 攻击
白菜执笔人的博客
03-03 800
Web安全攻防 学习笔记 一、XSS 攻击 1.1、实验环境介绍         地址:https://xss-quiz.int21h.jp/ 1.2、探测 XSS 过程 构造一个不会被识别为恶意代码的字符串提交到页面中 使用浏览审查工具进行代码审查,寻找构造的字符串是否在页面中显示 1.3、闭合文本标签利用 XSS   ...
xss跨站攻击
09-25
对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 数据来源:2007 OWASP Top 10的MITRE数据 注:OWASP是世界上最知名的Web安全与数据库安全研究组织 ...
ThinkPHP2.x防范XSS跨站攻击的方法
12-19
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览上执行恶意脚本。在ThinkPHP2.x框架中,存在一个可能导致XSS攻击的风险,即当URL参数中包含恶意脚本时,ThinkPHP的异常...
360webscan解决xss漏洞
05-26
解决360检查wordpress的xss漏洞问题
Laravel5中防止XSS跨站攻击的方法
01-20
本文实例讲述了Laravel5中防止XSS跨站攻击的方法。分享给大家供大家参考,具体如下: Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。 1、...
PHP和XSS跨站攻击的防范
12-17
国内不少论坛都存在跨站脚本漏洞,例如这里 有一个Google Hack+XSS攻击例子,针对的是Discuz 4.0.0RC3。国外也很多这样的例子,甚至Google也出现过,不过在12月初时修正了。跨站攻击很容易就可以构造,而且...
XSS跨站脚本攻击
01-27
跨站脚本攻击XSS)是Web应用程序中常见的安全问题,主要源于开发人员未对用户提交的数据进行充分的过滤和转义。攻击者利用这一弱点,能够在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本,从而导致...
Asp.net安全架构之1:xss跨站脚本)
weixin_34419321的博客
05-22 360
原理跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cooki...
javaweb——解决XSS跨站脚本攻击的方法
两只橙的博客
03-20 1万+
1.编写一个过滤处理转义字符,防止SQL注入package com.xinrui.flower.filter;import java.io.IOException;import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet
如何利用xss绕过360网盾做防360拦截空间!
飞鱼计划
03-22 1722
cut360.php内容:<?php function randomkeys($length){ $pattern='1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLOMNOPQRSTUVWXYZ'; for($i=0;$i<$length;$i++) { $key .= $pattern{mt_rand(0,3

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值