XSS 跨站脚本攻击实例1

最新推荐文章于 2022-07-05 18:08:23 发布
最新推荐文章于 2022-07-05 18:08:23 发布
阅读量777 收藏
点赞数
分类专栏: Web类

http://www.cnblogs.com/StudyLife/p/3514038.html

这篇文章适合知道有XSS脚本攻击,但是一头雾水,从未操作过,也不知道脚本攻击会给客户端用户带来什么不便之处,有什么危害。

 

 

通过Asp.net实现搜索功能,你提交了搜索条件后都在搜索框下方第一行显示  “您搜索的内容是:xxxx”

1.页面有3个控件, 一个 输入框(txtSearch),一个搜索按钮(btn),一个div (id=”result”  runat=”server”)

 

Default.aspx代码
  1. <%@ Page Title="" Language="C#" MasterPageFile="~/Site.master" AutoEventWireup="true"
  2.     CodeBehind="Default.aspx.cs" Inherits="WebApplication1._Default" ValidateRequest="false" %>
  3.  
  4. <asp:Content ID="HeaderContent" runat="server" ContentPlaceHolderID="HeadContent">
  5. </asp:Content>
  6. <asp:Content ID="BodyContent" runat="server" ContentPlaceHolderID="MainContent">
  7.     <asp:TextBox ID="txtSearch" runat="server"></asp:TextBox><asp:Button ID="btn"
  8.         runat="server"  Text="" onclick="btn_Click" />
  9.  
  10.   <div id="result" runat="server">
  11.   </div>
  12.  
  13. </asp:Content>

 

Default.aspx.cs代码
  1. using System;
  2. using System.Collections.Generic;
  3. using System.Linq;
  4. using System.Web;
  5. using System.Web.UI;
  6. using System.Web.UI.WebControls;
  7.  
  8. namespace WebApplication1
  9. {
  10.     public partial class _Default : System.Web.UI.Page
  11.     {
  12.         protected void Page_Load(object sender, EventArgs e)
  13.         {
  14.  
  15.         }
  16.  
  17.         protected void btn_Click(object sender, EventArgs e)
  18.         {
  19.             result.InnerHtml = ": " + txtSearch.Text.Trim();
  20.             //result.InnerHtml = ": " + HttpUtility.HtmlEncode(txtSearch.Text.Trim());
  21.  
  22.         }
  23.     }
  24. }

 

 

分别在IE 和CHROME下分别测试

 

1. 在IE 和 chrome 下

1)搜索sdf,IE,chrome正常显示:您搜索的内容是:sdf

image

 

2 )搜索内容为: </div><script type="text/javascript">alert('跨站攻击鸟')</script><div>

 

您搜索的内容是 这段字符串是放在一个<div></div>

如果我们搜索 </div><script type="text/javascript">alert('跨站攻击鸟')</script>

则 这段字符串变为  <div>       </div><script type="text/javascript">alert('跨站攻击鸟')</script><div>   </div>,签名2个div就闭合了,中间一个元素为script元素,最后div也闭合了

 

 

  • IE下展示为:

image

此处就弹出了对话框。对其他用户有什么威胁呢?仅针对此情况来说,正常情况下,A用户提交内容后,服务器都会将内容保存到数据库服务器中,那么B用户如果访问到了A用户评论的那个界面就会弹出上面的对话框。这就影响了网站整体体验。

 

解决办法:  后台给div赋值时候,请用html encode编码

将上面btn按钮的事件代码改成 result.InnerHtml = "您搜索的内容是: " + HttpUtility.HtmlEncode(txtSearch.Text.Trim()) 就行了

 

如下图,就不会弹出对话框来了,而是将搜索内容完全展示出来鸟

 

image

 

我们来查看html源码,看见 html标签信息都被编码了,这样浏览器就不知道这是一个脚本代码

 

<div id="MainContent_result">您搜索的内容是: &lt;/div&gt;&lt;script type=&quot;text/javascript&quot;&gt;alert(&#39;跨站攻击鸟&#39;)&lt;/script&gt;&lt;div&gt;</div>

 

  • chrome浏览器访问
      

image

居然什么都不显示,并且浏览器捕捉到了一些错误哦,提示xss攻击

image

image

于是这个alert就不执行了。

 

 

 

本实例项目下载地址----->XSS实例1.zip

 

 

总结:

1.可见IE浏览器的安全性真够糟糕,简单的xss脚本攻击都不做任何处理。所以大家尽量少用IE浏览器,尽量用火狐,谷歌的,并尽量使用最新版的。

2.解决办法就是:保存用户提交的数据后再展示之前一定要进行html encode编码再展示

3. asp.net 默认机制  input value 提交后,返回的内容在你不赋值之前一定是html encode编码,就像刚才提交的 </div>…<div>那段,返回的input value 就为&lt;script type=&quot;text/javascript&quot;&gt;alert('跨站攻击鸟')&lt;/script&gt;   当然如果你赋值了,就以你赋值的为算。

昂首阔步,不留一点遗憾

mydriverc2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站脚本攻击实例解析
02-17
跨站攻击,即Cross Site Script Execution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS) 是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料...
简单模拟XSS攻击
公众号 Java4ye
07-06 2794
我的个人网站 www.ryzeyang.top. 前端提供一个简单的用户注册表单页面,后端使用node.js搭建,并运用express搭建简单的web应用,通过body-parser解析用户post上来的信息,模拟简单xss攻击 目录什么是xss呢?小demo简介vscode安装node.js插件代码前端页面后端代码(node+express+body-parser)结果下载 什么是xss呢? xss跨站脚本攻击,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访
软件安全实验——pre11(XSS跨站脚本攻击预习)
Onlyone_1314的博客
08-13 648
目录标题1、用IE访问某些网站的时候,输入javascript:alert(document.cookie)会有什么反应,解释原因。2、阅读下面两篇文章或者阅读一本书3、了解FireFox的两个插件LiveHttpHeaders和Firebug的基本使用方法。4、阅读下面这篇文章:5、阅读下面这两篇文章:6、XSS漏洞的触发条件有哪些?应该如何防范?一、什么是XSS二、XSS攻击的主要途径三、XSS攻击解决办法 1、用IE访问某些网站的时候,输入javascript:alert(document.cooki
XSS攻击常识及常见的XSS攻击脚本汇总
撸小鱼&奥术猫
04-12 3938
一、什么是XSS? XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。 二、XSS分类 XSS有三类:反射型XSS(非持久型)、存储型XSS(持久型)和DOM XSS 1、反射型XSS 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内...
跨站脚本攻击XSS案例及其解决方案
若华‘的博客
01-03 6908
跨站脚本攻击XSS 目录 案例一:留言板的XSS攻击 利用xss窃取用户名密码 案例二:输入框的XSS攻击 怎么预防 服务端可以干的事 客户端可以干的事 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 案例一...
PHP实现的防止跨站和xss攻击代码【来自阿里云】
10-18
主要介绍了PHP实现的防止跨站和xss攻击代码,是一款来自阿里云的防注入脚本,可实现针对注入、XSS攻击等的过滤功能,需要的朋友可以参考下
跨站脚本攻击与防范研究 (2012年)
04-27
目前网站的安全问题日益突出,详细地介绍了XSS攻击的漏洞类型,并对每种漏洞攻击进行了实例分析,通过对真实的入侵实例进行分析,总结了XSS攻击防范的方法,为XSS攻击防范提供了一些参考,减少了网站被XSS攻击的可能...
XSS脚本攻击使用方法初级教程
11-27
XSS跨站攻击介绍,解释XSS是如何进行攻击的以及执行攻击的实例
xss介绍
songxiaomianbao的博客
08-24 778
详情介绍: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容...
XSS 跨站脚本攻击及防范
09-07
XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶 意html 代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而 达到恶意用户的特殊目的。本文介绍了该攻击方式,并给出了一些防范措施。
XSS攻击实例1
01-11
简单让你了解xss攻击。 项目基于Asp.net 框架,VS2010下创建,C#语言
java xss攻击实例代码_Web安全测试之XSS实例讲解
weixin_42271195的博客
03-01 884
Web安全测试之XSSXSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发...
xss攻击实例
frinck的博客
10-16 5022
Cross Site Script 攻击者利用应用程序的动态展示数据功能,在 html 页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在 html 中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。 1.分类 ????反射型跨站脚本攻击 攻击者会通过社会工程学手段,发送一个 URL 连接给用户打开,在用户打开页面的同时,浏览器会执行页面中嵌入的恶意脚本。 ✨存储型跨站脚本攻...
跨站脚本攻击原理、攻击过程及防御方法简介
seek_2022的博客
05-03 8401
文章目录一、XSS简介(一)什么是XSS?(二)XSS的危害(三)XSS的分类(四)XSS的特性(五)XSS攻击过程二、如何防御XSS攻击?三、本文小结 一、XSS简介 (一)什么是XSS? Cross-Site Scripting,简称为XSS或跨站脚本或跨站脚本攻击,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。通常安全圈内的人喜欢称其为前端注入。 前端注入:用户输入的数据被当做前端代码执行(一般是当做JS代码执行)。 前端的三种代码中,出现XSS漏洞时,90%的情况下,注入的代码是被当
跨站脚本攻击XSS(最全最细致的靶场实战)
热门推荐
m0_51468027的博客
01-31 2万+
一、XSS跨站漏洞 (1)XSS简介   网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting,安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。恶意攻击者会在 Web页面里插入恶意Script代码,当用户浏览该页之时,嵌.
XSS跨站脚本攻击
weixin_30505225的博客
04-26 992
1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身...
XSS跨站脚本攻击)原理详解(内含攻击实例
qq_52642385的博客
07-05 6688
军锋真人cs野战123平台、xss平台(推荐自行搭建xss平台,不让别人白嫖咱自个的成果,蓝莲花战队的那个就挺好)、webshell箱子、postman、beef(kali上可能要自行下载,三行命令即可)、burpsuite、xsstrike【内含软件使用方法】原理:前端提交的一些参数转换为js代码,可以回显一些东西跨站:例如你将一段攻击代码通过留言存储到对方服务器上时,对方管理员在浏览时就可能会执行你所写的攻击语句。产生层面:前端函数类:一般应用js里面的一些输出类函数但是会受浏览器内核影响,一些浏览器会
反射性xss攻击实例
最新发布
05-25
反射型XSS攻击是指攻击者将恶意脚本注入到URL中,当受害者点击带有恶意脚本的URL时,该恶意脚本就会在受害者浏览器中执行,从而达到攻击目的。下面是一个反射型XSS攻击实例。 假设有一个搜索功能,用户在搜索框中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值