Pikachu中 Xss的简单防御剖析

已于 2024-03-20 12:29:04 修改
阅读量171 收藏 2
点赞数 2
文章标签: xss 正则表达式 可用性测试
于 2023-04-20 22:29:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m123456wer/article/details/130277166
版权
本文详细剖析了Pikachu中针对XSS攻击的防御措施,包括输入过滤、正则表达式替换、HTML转义、JavaScript编码、长度控制、模板引擎安全设置、避免内联事件和拼接HTML等方法,旨在提高网站的安全性。
摘要由CSDN通过智能技术生成

Pikachu中 Xss的简单防御剖析 --小文文

xss的防范措施总原则:


输入做过滤,输出做转义

过滤:比如对输入的东西做要求,如输入手机号,只能输入数字
转义∶所有输出到前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到JS里面的进行js转义。

输入过滤

第一part + 防御

例子:输入内容<script>alert(‘123’)</script>

说明:我们输入的<script></script>被过滤掉了 

这里使用,实现简单的防御

//preg_replace正则表达式<script进行替换为空,也就是过滤掉
$message=preg_replace('/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/', '', $_GET['message']); 

第二part 严谨的防御++

  防御  大小写 输入内容:<SCRIPT>alert(‘123’)</SCRIPT>

点击submit,有下图所示:

利用escapeHTML()函数,实现防御

防御核心

//这里会使用正则对<script进行替换为空,也就是过滤掉,修改方式是:添加escape()函数
$message=escape(preg_replace

最低0.47元/天 解锁文章
m123456wer
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
pikachu-XSS(跨站脚本攻击)
a1245678899的博客
11-09 1143
XSS漏洞的成因是没有对WEB前端的输入边界尽心严格的过滤,造成攻击者可以通过构造脚本语言使得输入的内容 被当成正常的HTML来执行(类似于SQL注入),从而产生危害。造成DOM型XSS的原因是前端的输入被DOM给获取到了,通过DOM又在前端输出,跟反射型和存储型比起来,它是不经过后台交互的。存储型XSS和反射型XSS形成的原因是一样的,不同的是存储型XSS下攻击者的可以将脚本注入到后台存储起来,构成更加持久的危害。编码,后台过滤了特殊字符,比如标签,但该标签可以被各种编码,后台不一定过。
Pikachu靶场之XSS漏洞详解
热门推荐
m0_46467017的博客
05-13 1万+
Pikachu靶场之XSS漏洞详解前言XSS漏洞简述第1关 反射型xss(get)第2关 反射性xss(post)第3关 存储型xss第4关 DOM型xss第5关 DOM型xss-x第6关 xss盲打第7关 xss之过滤第8关 xss之htmlspecialchars第9关 xss之href输出第10关 xss之js输出 前言 本篇文章用于巩固对自己xss漏洞的学习总结,其部分内容借鉴了以下博客。 链接: pikachu XSS Cross-Site Scripting皮卡丘漏洞平台通关系列 链接: P
Pikachu靶场-xss详解
qq_53083285的博客
10-30 7569
Picachu靶场-xss跨站脚本漏洞概述跨站脚本漏洞类型及测试流程反射型XSS(post&get)存储型XSSDom型XSSxss-获取cookiexss-进行钓鱼xss-获取键盘记录xss盲打xss的过滤和绕过xss输出在href和js的案例xss的防范措施 XSS-跨站脚本漏洞目录 跨站脚本漏洞概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS;
Pikachu漏洞靶场系列之XSS
weixin_45868644的博客
09-10 4956
文章目录概述跨站脚本漏洞常见类型XSS漏洞测试流程搭建XSS后台一、反射型XSS(Get)实验案例-获取Cookie二、反射型XSS(Post)三、存储型XSS实验案例-钓鱼攻击实验案例-键盘记录什么是跨域跨域-同源策略为什么要同源策略四、DOM型XSS五、DOM型XSS-X六、XSS之盲打七、XSS之过滤转换的思路编码的思路XSS之htmlspecialcharsXSS常见防范措施XSS之href输出XSS之js输出总结XSS常见Payload 概述 1、XSS就是攻击者在web页面插入恶意的Scri
pikachu-xss
weixin_44477223的博客
11-11 396
1. xss -跨站脚本攻击 1.1 XSS简单介绍 XSS是一种发生在Web前端的漏洞,所以其危害的对象也主要是前端用户 XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、盗取用户cookie,甚至对主机进行远程控制 1.1.1 攻击流程 假设存在漏洞的是一个论坛,攻击者将恶意的JS代码通过XSS漏洞插入到论文的某一页面 当用户访问这个页面时,都会执行这个恶意的JS代码,这个代码就会在用户的浏览器端执行 1.1.2 XSS攻击类型 危害:存储型 > 反射型 > DOM型 反射型:交互的数据一般
十四、pikachuXSS
qq_55202378的博客
08-26 968
pikachu XSS
pikachu靶场环境
02-12
在"Pikachu靶场",用户通常会遇到各种网络安全挑战,包括但不限于Web应用漏洞挖掘(如SQL注入、XSS跨站脚本攻击、文件包含漏洞等)、网络服务漏洞利用(如FTP、SMTP、SSH等服务的漏洞)、密码学概念应用(如加密与...
pikachu.rar
07-04
通过这样的靶场,用户可以在一个可控的环境实践攻击与防御技巧,增强自己的网络安全技能。 这个"Pikachu"靶场可能包含了各种常见的网络安全漏洞示例,如SQL注入、跨站脚本(XSS)、命令注入、权限提升、缓冲区...
pikachu(新手web安全入门靶场).7z
08-29
除了学习攻击技巧,Pikachu靶场同样强调防御策略。通过解决靶场的挑战,学习者将学习到如何编写更安全的代码,如参数化查询、输入验证、HTTPOnly cookie设置、内容安全策略(CSP)等。 总之,Pikachu靶场为初入...
【安全】P 4-1 XSS跨站脚本分类
Z_David_Z的博客
02-17 355
目录0X01 XSS漏洞介绍0X02 反射型XSS0X03 存储型XSS0X04 DOM型XSS 0X01 XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 0X02 反射型XSS 反射型XSS又称非持久性XSS,这种攻击
pikachu漏洞练习平台XSS
m0_55854679的博客
05-09 3202
XSS案例 get方式获取cookie图解 pkxss管理后台使用介绍 在绝对路径D:\phpstudy_pro\WWW\pikachu-master\pkxss下找到pkxss管理后台。 也可以点击,pikachu靶场的左侧漏洞栏最下面的管理工具下的xss后台,并进行初始化安装。 初始化安装后,输入页面提示的用户名和密码,即可成功进入pkxss管理后台。 get方式获取cookie方法 在目录D:\phpstudy_pro\WWW\pikachu-master\pkxss\xcookie下找
Pikachu-XSS
baynk的博客
11-18 1970
0x00 XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; XSS漏洞一直被评估为web漏洞危害较大的漏洞,在OWASP TOP10的排名一直属于前三的江湖地位。 XSS是一种发生在前端浏览器端的漏洞,...
【靶场实战】Pikachu靶场XSS跨站脚本关卡详解
晚风不及你
02-01 1328
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为反射性XSS、存储型XSS、DOM型XSSXSS漏洞一直被评估为web漏洞危害较大的漏洞,在OWASP TOP10的排名一直属于前三的江湖地位。
XSS漏洞pikachu靶场XSS通关
最新发布
qq_68163788的博客
05-25 1169
pikachu靶场XSS通关是一种漏洞攻击技术,通过在输入框注入恶意脚本代码来实现攻击。攻击者可以利用XSS漏洞窃取用户的cookie信息、重定向用户到恶意网站或者篡改网页内容等。在pikachu靶场,攻击者可以通过输入恶意代码实现跨站脚本攻击,从而获取敏感信息或者控制网页行为。要防范XSS漏洞,网站开发者应该对用户输入进行严格过滤和验证,避免恶意代码的注入。
Pikachu靶场——XSS漏洞(Cross-Site Scripting)
来日可期的博客
10-07 1321
跨站点脚本(Cross Site Scripting,XSS)是指客户端代码注入攻击,攻击者可以在合法网站或Web应用程序执行恶意脚本。当wb应用程序在其生成的输出使用未经验证或未编码的用户输入时,就会发生XSS
pikachuxss之过滤、htmlspecialchars
Resets_的博客
09-12 891
pikachu xss过滤、htmlspecialchars
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 8667
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
pikachu---XSS漏洞
m0_52822871的博客
08-31 610
实验环境–pikachu靶机 (记录学习笔记) 一 XSS概述 1.XSS定义 •人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 •跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 2.XSS原理
pikachu靶场xss
05-24
Pikachu 靶场是一款用于学习和测试 Web 安全漏洞的免费开源平台,其包括了 XSS 攻击的相关漏洞。 首先,你需要在本地安装好 Pikcahu 靶场,然后进入靶场的 XSS 模块。在该模块,你可以看到已经准备好的一些 XSS...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值