DVWA关卡12:Content Security Policy (CSP) Bypass(存储型XSS)

最新推荐文章于 2023-06-16 09:13:52 发布
VIP文章 最新推荐文章于 2023-06-16 09:13:52 发布
阅读量1.2k 收藏
点赞数
分类专栏: DVWA渗透测试靶场 文章标签: web安全 安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54899775/article/details/121894899
版权

目录

Low

Medium

High 

Impossible

CSP(Content Security Policy,内容安全策略)是一种用来防止XSS攻击的手段,通过在头部Content-Security-Policy 的相关参数,来限制未知(不信任)来源的JavaScript脚本的执行,从而达到防止xss攻击的目的。一般的xss攻击,主要是通过利用函数过滤/转义输入中的特殊字符,标签,文本来应对攻击。CSP则是另外一种常用的应对XSS攻击的策略。其实质就是白名单机制,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。

Low

 源码:

<?php

$headerCSP = "Content-Security-Policy: script-src 'self' https://pastebin.com hastebin.com example.com code.jquery.com https://ssl.google-analytics.com ;"; // allows js from self, pastebin.com, hastebin.com, jquery and google analytics.

header($headerCSP);

# These might work if you can't create your own for some reason
# https://pastebin.com/raw/R570EE00
# https://hastebin.com/raw/ohulaquzex

?>
<?php
if (isset ($_POST['include'])) {
$page[ 'body' ] .= "
    <script src='" . $_POST['include'] . "'></script>
";
}
$page[ 'body' ] .= '
<form
最低0.47元/天 解锁文章
景天zy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA:该死的易受攻击的Web应用程序(DVWA
05-10
DVWA的目的是通过简单易用的界面来实践一些最常见的Web漏洞,这些漏洞具有不同的难度。 请注意,此软件同时存在已记录和未记录的漏洞。 这是故意的。 鼓励您尝试发现尽可能多的问题。 警告! 该死的易受攻击的Web...
DVWA13_Content Security Policy (CSP) Bypass(内容安全策略绕过)
weixin_44193247的博客
03-12 461
DVWA漏洞复现练习篇
DVWAContent Security Policy (CSP) Bypass
baynk的博客
11-20 1061
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ 才发现原...
DVWA Content Security Policy (CSP) Bypass
部分学习记录
09-24 235
low 审查源码发现只允许导入白名单中的javascript网站,直接使用代码中的例子,按理说应该能弹窗,但是我没有成功,且CSP报错 但是因为是刚刚接触,对于CSP还不是很熟,所以只能换种方法,反正题目的初衷应该是让了解被信任的网站也可能被攻击者利用,存有恶意代码。这里使用的是网上的另一种方法,将javascript代码保存到csp文件夹下,随便命名,例如xss,然后在导入框中导入,弹窗成功 medium 审查源码,unsafe-inline,允许使用内联资源,nonce-source,仅允许特定的内
Content Security Policy (CSP) Bypass
angry_program的博客
02-11 605
前言 内容安全策略, 全称: Content Security Policy (CSP)。 为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安全策略(CSP)的一般概念。这将引入一些相当严格的策略,会使扩展程序在默认情况下更加安全,开发者可以创建并强制应用一些规则,管理网站允许加载的内容。 以白名单的机制对网站加载或执行的资源起作用。在网页中,这样的策略通过两种方法定义...
DVWA:该死的易受攻击的Web应用程序(DVWA
02-05
DVWA的目的是通过简单易用的界面来实践一些最常见的Web漏洞,这些漏洞具有不同的难度。 请注意,此软件同时存在已记录和未记录的漏洞。 这是故意的。 鼓励您尝试发现尽可能多的问题。警告! 该死的漏洞Web应用程序...
xss-dvwa靶场详情
最新发布
04-06
dvwa靶场中的xss漏洞详情
docker-dvwa:DVWA的Docker Compose设置
03-06
DVWA在Dockerhub上有可用的官方Docker映像,但是编写此映像时,该映像已有2年未收到任何更新。 如果您希望始终使用最新版本,请使用此处提供的Docker Compose设置。 映像将始终根据存储库的最新主分支在。 :party...
dvwa靶场,里面也有xss靶场
09-24
我的连接数据库用户名是root,密码是123456,自己的不一样的话,在DVWA-master\config目录下config.inc.php文件内修改自己的密码。
DVWA —— Content Security Policy (CSP 内容安全策略) Bypass
YouTheFreedom的博客
05-26 889
CSP全称是: Content-Security-Policy, 内容安全策略。 是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。主要是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻时,主要采用函数过滤转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度,开发人员明确告诉客户端,哪些外部资源可以加载和执行。开发者只需要提供配置,实现和执行全部由浏览器完成。
DVWA学习之CSP BypassContent-Security-Policy Bypass
weixin_40950781的博客
08-22 804
DVWA学习之CSP BypassContent-Security-PolicyCSPContent-Security-PolicyBypass绕过内容安全策略0x01 CSPContent-Security-Policy)0x02 CSP启动方式0x03 low级别0x04 medium级别0x05 high级别0x06 high级别 CSPContent-Security-Pol...
[网络安全] DVWAContent Security Policy (CSP) Bypass 攻击姿势及解题详析合集
等风来
06-16 3308
以上为DVWAContent Security Policy (CSP) Bypass 攻击姿势及解题详析合集,结合PHP代码审计及Http相关知识考察CSP渗透姿势。我是秋说,我们下次见。
DVWA靶场-Content Security Policy (CSP) Bypass
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
06-10 850
往期博文: DVWA靶场-Brute Force Source 暴力破解 DVWA靶场-Command Injection 命令注入 DVWA靶场-CSRF 跨站请求伪造 DVWA靶场-File Inclusion 文件包含 DVWA靶场-File Upload 文件上传 DVWA靶场-SQL Injection SQL注入 DVWA靶场-Weak Session IDs 脆弱的Session DVWA靶场-XSS(DOM、反射存储) 靶场环境搭建 https://github
2019-3-9 dvwa学习(11)--Content Security Policy (CSP) Bypass绕过内容(网页)安全策略
weixin_42555985的博客
03-10 3048
Content Security Policy(CSP),内容(网页)安全策略,为了缓解潜在的跨站脚本问题(XSS攻击),浏览器的扩展程序系统引入了内容安全策略(CSP)这个概念。具体内容可以参见《Content Security Policy 入门教程》 在先前的XSS攻击介绍中,主要都是利用函数过滤/转义输入中的特殊字符,标签,文本来应对攻击。CSP则是另外一种常用的应对XSS攻击的策略。 C...
bypass csp学习
dengzhasong7076的博客
11-27 212
csp学习 环境测试: 2016年11月27日。 chrome 版本 54.0.2840.98 (64-bit) firefox 版本 50.0 csp csp是为了缓解一些攻击,比如xss、csrf。 以白名单的机制对网站加载或执行的资源起作用,通过 HTTP 头信息或者 meta 元素定义 这样就导致xss失效。 更多基础知识可以看看这篇文章: http://lorexxar.cn...
DVWA------(CSP) Bypass
m0_65712192的博客
12-13 661
DVWA------(CSP) Bypass
DVWA—内容安全策略绕过(CSP Bypass
qq_54537919的博客
06-27 987
DVWA—内容安全策略绕过(CSP Bypass
xssCSP bypass
weixin_50464560的博客
08-09 742
0x01 庐山真面目 —— 何为CSP 看到标题,是否有点疑惑 CSP 是什么东东。简单介绍一下就是浏览器的安全策略,如果 标签,或者是服务器中返回 HTTP 头中有 Content-Security-Policy 标签 ,浏览器会根据标签里面的内容,判断哪些资源可以加载或执行。 为了研究CSPContent Security Policy)对XSS攻击的防护作用,他们做了对CSP安全的首次深入分析,分析了CSP标准中对web缺陷的保护能力,帮助识别常见的CSP策略配置的可能错误,并且展示了三类能使
dvwa存储xss获取cookie
06-06
DVWA存储XSS攻击可以通过注入恶意脚本来获取用户的cookie信息。攻击者可以在DVWA应用程序中的输入框中注入恶意脚本,当用户访问受影响的页面时,恶意脚本会被执行,将用户的cookie信息发送到攻击者的服务器上。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值