Cross Site Scripting (CSS)源代码静态分析与安全测试

最新推荐文章于 2023-11-21 17:57:01 发布
最新推荐文章于 2023-11-21 17:57:01 发布
阅读量82 收藏
点赞数
分类专栏: C#.NET 文章标签: css 前端 javascript c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/limuchun2012/article/details/127306183
版权

1. 前端处理方案(可以通过安全测试工具,但是实际攻击还是可以绕过,不建议前端处理)

<script type="text/javascript">
     $(document).ready(function(){
     var url=window.location.href;
     
     window.location.href=HTMLEnCode(url);
    });
     
    function HTMLEnCode(str) {
    var s = "";
    if (str.length == ) return "";
    s = str.replace(/&/g, "&gt;");
    s = s.replace(/</g, "");
    s = s.replace(/>/g, "");
    s = s.replace(/ /g, "");
    s = s.replace(/\"/g, "");
    s = s.replace(/\'/g, "");
    s = s.replace(/\n/g, "");
    s = s.replace(/\//g, "");
    s = s.replace(/\(/g, "");
    s = s.replace(/\)/g, "");
    s = s.replace(/\=/g, "");
     
    return s;
    } });
     </script>

2. 后端处理方法

/**
         * 危险字符过滤方法
         * @param str
         * @return
         * @throws Exception
         */
        public static String dangerousCharacterFilter(String str) {
            //一种解决SQL盲注的后台过虑,其方式就是将可能出现的非法字符进行规制
            //java代码替换特殊字符
            //str="^&h\\/!@#$%^&*()+|/jgfj&%fgd''$#$@!)(}|";
            if(str!=null){
                str = str.replaceAll("(\\|)", "");
                str = str.replaceAll("(\\&)", "");
                str = str.replaceAll("(\\;)", "");
                str = str.replaceAll("(\\$)", "");
                str = str.replaceAll("(\\%)", "");
                str = str.replaceAll("(\\@)", "");
                str = str.replaceAll("(\\')", "");
                str = str.replaceAll("(\\\")", "");
                str = str.replaceAll("(\\>)", "");
                str = str.replaceAll("(\\<)", "");
                str = str.replaceAll("(\\))", "");
                str = str.replaceAll("(\\()", "");
                str = str.replaceAll("(\\+)", "");
                //str = str.replaceAll("(\\CR)", "");  //回车符 ASCII 0x0d
                //str = str.replaceAll("(\\LF)", "");  //换行 ASCII 0x0a
                str = str.replaceAll("(\\,)", "");
                str = str.replaceAll("(\\\\)", "");
                str = str.replaceAll("(\\#|$)", "");
           }
           return str;
        }

michael30000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站点脚本编制问题解决
06-12
基于OWASP组织提供的WEB项目中跨站点脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
js解决跨站点脚本编制问题
weixin_34237596的博客
08-02 1272
1.前台处理(容易绕过): &lt;script type="text/javascript"&gt; $(document).ready(function(){ var url=window.location.href; window.location.href=HTMLEnCode(url); }); function HTMLEnCode(str) { var s = ""; i...
C#和Java跨站式脚本(Cross-Site Scripting)
Zarkjobs的博客
07-17 453
简介 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到窃取用户信息的用户账号的目的。 步骤1. 把连接拼接成http://www.xxx.com/aaa.aspx?c=<script>alert%2811%29<%2fscript>whscheck>\ 步骤2. 访问该拼接的连接会弹出11,说明你的参数是暴露的,需要步骤
Cross-Site Scripting(XSS)简介
weixin_30784945的博客
07-13 309
  最近才开始研究HTML以及安全问题。如果有什么说得不对的地方,望请指出。   在网络应用安全中,XSS可能是最常见,范围最大,所包含攻击方法最多,同时也是最难以理解的一种攻击。在OWASP所列出的十大网络应用安全风险中,其排名第二位,仅次于SQL Injection。   而在本篇文章中,我们将一步一步深入挖掘XSS的攻击流程,攻击手段,以及防御方法等各个方面。 XSS示...
XSS漏洞攻击与防护源代码
10-31
XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本。这种攻击通常发生在Web应用中,攻击者通过注入恶意脚本到网页上,当用户浏览这些被篡改的页面时,恶意脚本会在...
16 王润 WEB APP跨站脚本漏洞的检测与分析1
08-03
【标题】:“16 王润 WEB APP跨站脚本漏洞的检测与分析1” 【描述】:本文主要探讨了Web APP中的跨站脚本(XSS)漏洞的检测和分析方法,尤其是在HTML5技术广泛应用背景下,Web APP的安全问题日益突出。 【标签】:...
基于JSP的网上购物系统的设计与实现(源代码+论文).zip
02-29
系统安全性方面,除了防止SQL注入,还需考虑XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)攻击。可以通过验证CSRF令牌,过滤输出内容等方式加强防护。 最后,性能优化是不可忽视的环节。可以...
信息安全_数据安全_3_ZN2018_WV_-_CSP_bypass.pdf
08-21
【内容安全策略(Content Security Policy, CSP)】是网络安全领域的一个重要机制,它旨在防止跨站脚本攻击(Cross-site scripting, XSS)和其他潜在的恶意注入。CSP通过允许网站管理员定义允许加载的资源类型和来源...
Java 开发JAVA小区门户网站(源代码+论文).rar
最新发布
04-11
安全方面,项目可能涉及到HTTPS协议确保数据传输的安全,CSRF(Cross-site request forgery)和XSS(Cross-site scripting)防护来防止恶意攻击,以及对用户输入的验证和过滤,防止SQL注入等问题。 总的来说,这个...
说说跨站脚本
09-15
说说跨站脚本
js跨站脚本
weixin_34066347的博客
08-02 295
xss 跨站脚本,称为xss这个术语用来表示一类的安全问题,指攻击者向目标web站点注入html标签或者脚本。 来一个小栗子  substring 返回介于两者之间的字符串,如果省去最后一个参数,则直接以length为填充 window.location.search 返回/后面内容包括问号 返回?后面的参数 window.location.search.substring(1) d...
安全基础第六天:css注入
weixin_62870380的博客
03-27 1628
我是垃圾,没做出来,别看
跨站点脚本编制
ilsld的博客
10-11 1683
项目安全检测出现 “跨站点脚本编制” 的问题,以下解决方法是网上搜索整理。 用过滤器过滤所有url 1.过滤器 @Slf4j @WebFilter(filterName = "urlFilter", urlPatterns = "/*") public class webFilter implements Filter { /** * * @param filterConfig The configuration information associated with the
跨站点脚本编写综合教程
aboutmn的博客
08-28 1031
第一部分:概述 什么是XSS? 跨站点脚本(XSS)是一种代码注入攻击,它使攻击者可以在用户的浏览器中执行恶意JavaScript。 攻击者不会直接针对其受害者。 相反,他利用受害者访问的网站中的漏洞来使网站为他提供恶意JavaScript。 对于受害者的浏览器而言,恶意JavaScript似乎是网站的合法部分,因此该网站充当了攻击者的无意帮凶。 如何注入恶意JavaScript 攻击者在受害者的浏览器中运行其恶意JavaScript的唯一方法是将其注入受害者打开的网站页面。 如果如果网站部队用户输入进行过
【安全漏洞】安全漏洞处理--跨站点脚本编制
11-21 210
这里并没有写的很完全,如果你的系统中加了这段代码,还是出现问题,那么你就要去看看源文件了,看存在哪些特殊的字符,在这段代码中进行补充就可以了;注意:1、404.jsp页面或者其他页面的输出错误路径语句,也会检测到跨站点脚本编制错误,要把输出路径语句删除或者屏蔽。通过修改原始请求参数,可获取正常的响应结果,并且可以在响应的内容中获取到修改原始参数添加的那部分脚本。对修改原始请求参数添加的脚本进行过滤,找到关键词后对关键词进行替换或者直接报错跳转到异常页面。响应的内容中获取到修改原始参数添加的那部分脚本。
跨站点脚本编制描述及解决方法
热门推荐
xrdlqy的专栏
02-04 2万+
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2   简介: 跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获
跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)
C3Stones
12-06 1831
1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting。为了和CSS区分,命名为XSS。   XSS是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 2. XSS相关博客   跨站点脚本编制 - SpringBoot配置XS...
《appscan教程》 三 sql注入跨站点脚本编制
程序猿学社的博客
08-30 2183
sql注入跨站点脚本编制 package com.cloudtech.web.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servle...
cross site scripting
03-16
跨站脚本攻击(Cross Site Scripting,简称 XSS)是一种常见的Web安全漏洞,攻击者通过在Web页面中注入恶意脚本,使得用户在浏览页面时受到攻击。攻击者可以利用这种漏洞窃取用户的敏感信息,如账号密码、银行卡号等。为了防止XSS攻击,开发者需要对输入的数据进行过滤和转义,以确保用户输入的内容不会被当做脚本执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值