JavaScript数据安全实战!攻击与防范

最新推荐文章于 2024-04-13 17:00:00 发布
最新推荐文章于 2024-04-13 17:00:00 发布
阅读量1.5k 收藏
点赞数
分类专栏: JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiacai2050/article/details/9176341
版权

最近虽说到了考试周了,但还是忍不住会编一些程序,最近再看《JavaScript王者归来》一书,以前我就知道JavaScript这门语言十分的神奇,虽说直接用jquery来做应用比较简单,但是想完完整整了解这个语言的特性我还是差的太远了,不废话了,推荐大家都看看这本书。

利用JavaScript的常见攻击有以下几种:

1.伪造表单提交目的地,从而窃取数据

解释:HTML表单的提交由form的action属性决定,而JavaScript具备从客户端修改form的action能力

有一个简单的页面有如下一个表单:

<form actioni="a.action" name="myForm">
<input type="text" name="data" value="aa"/>
<input type="submit"/>
</form>
破解方法:

在浏览器地址栏中输入:

JavaScript:document.myForm.action="b.action";void(0);
这样数据就会被提交到b.action中而不是a.action

2.伪造数据,绕过合法性验证

解释:很多Web应用在,在前台用javascript来控制数据的合法性,但是这种合法性是很容易被绕过的

有如下一个表单:

 <form name="myForm" action="a.html" οnsubmit="return !/\s+/.test(document.myForm.textData.value) && /\d+/.test(document.myForm.numData.value) || alert('请输入正确格式') || false;">
	<input name="textData" type="text"/>
	<input name="numData" type="text"/>
	<input type="submit">
	</form>
其中textData必须为字符numData必须为数学,否则无法提交

破解方法:

在浏览器地址栏中输入:

JavaScript:document.myForm.οnsubmit=function() {return true;}; void(0)

更详细的介绍参照《JavaScript王者归来》一书的第21页。





on_way_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【项目实战】Web端常见的高风险漏洞与解决方法(XSS跨站脚本攻击
本本本添哥
03-31 394
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞
JS 前端常见的攻击
ct_ts的博客
04-10 2708
前端安全问题一直是面试经常问到的问题,也是我们平时建站会遇到的问题,今天来记录一下前端安全方面的相关知识。 前端经常遇到的攻击有 XSS CSRF 网络劫持 控制台注入 XSS攻击(跨站脚本攻击) 问题: 简单来说,XSS指的就是代码注入,它利用的是html的一些漏洞来进行注入脚本,比如插入一个script标签<script>,或者直接进行页面弹窗,更有可能通过你的inp...
js 特效 html 特效 射击游戏
08-23
js 特效 html 特效 射击游戏 js 特效 html 特效 射击游戏
JavaScript数据安全
yuyongkun4519的博客
06-03 180
防篡改对象: 1,不可扩展对象 Object.preventExtensions(obj) 对象属性不可新增,可以删除,可以修改。 2,密封对象 Object.seal(obj)--相当于对象属性的[[configurable]]被设置为false,这意味着不能输出属性和方法。 对象属性不可新增,不可删除,可以修改。 3,冻结对象 Object.freeze(obj) 对象属...
网络入侵敲响警钟,数据安全不容忽视!
HLWQHKJ的博客
09-29 943
据该公司公布的《2021年云安全状况》,有近3/4的公司受到云安全攻击的影响,恶意软件,勒索软件,云泄漏以及配置错误等问题成为最大威胁。构建DDoS防护,企业无需调整网站基础架构,一键增加保护,透明访问,防御大流量的攻击,此外还提供SSL证书&云证管理:HTTPS域名认证和加密传输等功能。提起网络安全,很多人都会想到黑客入侵,DDoS攻击,这些大多数是对个人电脑的攻击,但实际上,在网络世界里,个人与企业同样需要重视网络安全,尤其是很多企业把数据上云,这个时候对数据资产的考验才刚刚开始。
asp.net防SQL/JS注入攻击:过滤标记
Panda
07-29 1880
/// /// 过滤标记/// /// 包括HTML,脚本,数据库关键字,特殊字符的源码 /// 已经去除标记后的文字public static string NoHTML(string Htmlstring){if (Htmlstring == null){return "";}else{//删除脚本Htmlstring = Regex.Replace(Htmlstring, @"]*?>.*?
浅谈 JavaScript DDoS 攻击原理与防御
极北三少
08-12 374
分布式拒绝服务攻击(DDoS)攻击是一种针对网站发起的最古老最普遍的攻击。Nick Sullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师。近日,他撰文介绍了攻击者如何利用恶意网站、服务器劫持和中间人攻击发起DDoS攻击,并说明了如何使用HTTPS以及即将到来的名为“子资源一致性(Subresource Integrity,简称SRI)”的Web新技术保护网站免受攻击
API安全实战
华章IT官方博客
08-19 2472
一提起“信息安全”,不管是业内专家还是所谓的“吃瓜群众”,多半都会在脑海中浮现“网络安全”“Web安全”“软件安全”“数据安全”等常见的词汇。市面上绝大多数安全类书籍也多集中在这几个领域,而从API视角阐释信息安全的资料却凤毛麟角,也很少有人从软件系统之间“接口”的角度来分析和挖掘安全漏洞。API最初的应用基本都在本地系统之上。时至今日,API已经成为各类软件系统(尤其是大型Web系统)集成的一种...
XSS跨站脚本攻击在Java开发中防范的方法
01-09
#### XSS攻击原理与分类 XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终用户。XSS攻击主要分为以下两种类型: 1. **...
ASP.NET安全性与攻击防范:保护网站免受威胁
ASP.NET安全性涉及到各个层面,包括对身份验证、授权、数据传输、攻击防范等方面的保护。 在ASP.NET中,安全性是开发过程中必不可少的一部分,涉及到用户敏感数据和系统安全,因此需要引起开发者高度重视。 ## 1.2...
Metasploit后渗透攻击防范
在后渗透攻击中,攻击者通常会利用漏洞或密码破解等方法获取目标系统的初始访问权限,随后利用Metasploit提供的后渗透攻击工具进行进一步的渗透和控制。 后渗透攻击的基本流程包括: - 初始访问权限获取 -
20种最常见的网络安全攻击类型
ZL_1618的博客
09-28 889
网络攻击是指旨在针对计算机或计算机化信息系统的任何元素以更改,破坏或窃取数据以及利用或损害网络的行为。网络攻击一直在上升,与近年来越来越流行的业务数字化同步。虽然有数十种不同类型的攻击,但网络攻击列表包括20个最常见的示例。
XSS漏洞之js脚本攻击
Decadent丶沉沦の博客
09-29 1765
XSS攻击之对前端脚本做校验
一文详解五大网络安全攻击类型
qq_53058639的博客
08-26 2979
随着网络规模和复杂性不断增大,网络攻击的类型也日益繁多,企业面临的网络安全问题越发严峻。提到网络攻击,很多人脑海会浮现特洛伊木马、黑客……多方位多手段化的网络攻击让人防不胜防。。本文将就此五大类攻击方法展开简单介绍,帮助大家进一步了解网络安全攻击相关知识。指技术上的行家或热衷于解决问题, 克服限制的人;是那些喜欢进入其他人系统的人;骇客和黑客之间最主要的不同是:黑客们创造新东西,骇客们破坏东西。侵入者绕过物理控制而获得对系统的访问。对机器有物理进入权限 (比如他们能使用键盘)。
数据安全:保护敏感信息和防范黑客攻击
禅与计算机程序设计艺术
01-08 817
1.背景介绍 在当今的数字时代,数据安全已经成为了企业和个人最关注的问题之一。随着互联网的普及和人工智能技术的发展,数据安全问题日益凸显。敏感信息的泄露和黑客攻击对企业和个人都造成了巨大损失。因此,保护敏感信息和防范黑客攻击已经成为了数据安全的重要方面。 在这篇文章中,我们将从以下几个方面进行阐述: 背景介绍 核心概念与联系 核心算法原理和具体操作步骤以及数学模型公式详细讲解 具体代码实例...
数据一致性的黑客攻击:如何保护分布式系统的数据安全
最新发布
2201_75362610的博客
04-13 682
在当今的大数据时代,分布式系统已经成为了企业和组织中不可或缺的技术基础设施。这些系统通常包括多个节点,这些节点可以是服务器、计算机或其他设备,它们通过网络连接在一起,共同处理和存储数据。分布式系统的优点是它们可以提供高可用性、高性能和高扩展性。然而,这种分布式架构也带来了新的挑战,其中最重要的是如何保证数据的一致性。数据一致性是指在分布式系统中,所有节点的数据都必须保持一致,即在任何时刻,任何节点的数据都应该与其他节点的数据相同。
WEB安全扫描问题汇总
CNXBDSa的博客
08-09 2379
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery 4、Struts2开发模式 使用Spring MVC等其他框架,或升级Struts2最新版本 5、易受攻击JavaScript库 更换使用的JS库、或者修改相关的JS。 一般问题: 1、HTML表单没有CSRF保护 传到后台的表单数据都没过滤、没有进行URLEncode等 2
数据安全-安全威胁
kayflyaaaa的博客
05-07 3922
本章我们主要学习一些常见的安全威胁。 以及一些安全威胁的案例。 下面我们从六个小节来学习安全危险。 首先是基础设施所面临的安全危险。 基础设施包括存储设备、运算设备以及其他一些基础软件。这些基础设施带来各种数据应用的便利的同时。 也会遭到安全危险。 主要以下五个方面啊。 有非法访问信息泄露、丢失、网络传输过程,破坏数据,拒绝服务攻击,还有计算机病毒。 非法访问主要是指有益的绕开系统控制访问机制,对设备进行非正常使用。主要形式有假冒身份攻击非法用户进入系统进行违法操作或是合法用户以未授权的方式进行操作等等。
检测到目标站点存在javascript框架库漏洞 绿盟 web
热门推荐
jingleifan的博客
05-30 2万+
详细描述 JavaScript 框架或库是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞的 JavaScript 框架或库,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击 解决办法 将受影响的javascript框架库升级到最新版本 威胁分值 6 危险插件 否 发现日期 2001-0...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值