跨站脚本(XSS)的一些问题,解决<script>alert(42873)</script>

最新推荐文章于 2024-06-04 13:39:04 发布
最新推荐文章于 2024-06-04 13:39:04 发布
阅读量9.6k 收藏 1
点赞数
分类专栏: 跨站脚本(XSS)的一些问题 文章标签: 跨站脚本XSS的一些问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ouxuxuan0620/article/details/50396274
版权
问题:跨站脚本(XSS)的一些问题,主要漏洞证据: <script>alert(42873)</script>,对于这个问题怎么解决?
方案一:
一、 过滤用户输入的内容,检查用户输入的内容中是否有非法内容。如<>(尖括号)、"(引号)、 '(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。
二、严格控制输出
可以利用下面这些函数对出现xss漏洞的参数进行过滤
1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。
2、htmlentities() 函数,用于转义处理在页面上显示的文本。
3、strip_tags() 函数,过滤掉输入、输出里面的恶意标签。
4、header() 函数,使用header("Content-type:application/json"); 用于控制 json 数据的头部,不用于浏览。
5、urlencode() 函数,用于输出处理字符型参数带入页面链接中。
6、intval() 函数用于处理数值型参数输出页面中。
7、自定义函数,在大多情况下,要使用一些常用的 html 标签,以美化页面显示,如留言、小纸条。那么在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。
各语言示例:
PHP的htmlentities()或是htmlspecialchars()。
案例: 

                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  ouxuxuan0620
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
xss跨站脚本攻击汇总

				
			

			

				

					07-24
				

			

		

		

			
				
xss跨站脚本攻击汇总,可以学习一下啊,比较全面了

			
		

	



                

              
                



	

		

			

				
					
 XSS跨站脚本攻击课件

				
			

			

				

					11-24
				

			

		

		

			
				
例如,一个搜索框的查询参数如果没有经过安全处理,攻击者可以构造如下URL:`https://example.com/search?query=<script>alert('XSS')</script>`。用户点击后,服务器将恶意脚本反射回浏览器执行。反射型XSS需要用户...

			
		

	



                


  
              

                


	

		

			

				
					
XSS绕过和防御总结

				
			

			

				

					m0_72324809的博客
				

				

					04-30
					
					713
					
				

			

		

		

			
				
<a xlink:href= javascript:alert(1)>1</a>

			
		

	





	

		

			

				
					
XSS注入总结

					
最新发布

				
			

			

				

					白帽黑客佳哥的博客
				

				

					06-04
					
					922
					
				

			

		

		

			
				
本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。X-XSS-Protection,即XSS保护属性,是设置在响应头中目的是用来防范XSS攻击的。如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。将利用写在自己服务器上,核心是让受害者访问我们的服务器,然后触发别的网站的xss。所有能输入的地方都要试一次,有字数限制的可以在burp里改。里的时候,闭合标签会被当做代码执行。

			
		

	



		

			
		



	

		

			

				
					
xss跨站漏洞

				
			

			

				

					weixin_33736048的博客
				

				

					08-12
					
					112
					
				

			

		

		

			
				
 xss***就是恶意***者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。一般而言,利用跨站脚本***,***者可窃会话COOKIE从而窃取网站用户的隐私,包括密码。XSS***使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等。XSS***对WEB服务器虽无直接危害...

			
		

	





	

		

			

				
					
解决跨站脚本注入问题

				
			

			

				

					啊杰的专栏
				

				

					01-21
					
					7590
					
				

			

		

		

			
				
===========================问题描述========================
跨站脚本注入的几种形式
*****="/>alert(document.cookie)&passwd=&ok.x=28&ok.y=6 

******="/>window.open("http://www.baidu.com")>

/document/ifr_list_ma

			
		

	





	

		

			

				
					
45. XSS篇——XSS过滤绕过技巧

				
			

			

				

					Fly_鹏程万里
				

				

					03-20
					
					2万+
					
				

			

		

		

			
				
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程!

改变大小写

在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则:

比如:<script>alert(“xss”);</script>可以...

			
		

	





	

		

			

				
					
XSS漏洞基础

				
			

			

				

					m0_62092622的博客
				

				

					01-22
					
					2667
					
				

			

		

		

			
				
概念

XSS跨站脚本攻击 (Cross Site Scripting),是一种经常出现在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括 HTML 代码和客户端脚本。

攻击者利用 XSS 漏洞旁路掉访问控制——例如同源策略 (same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的 phishing 攻击而变得广为人知。

对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的 “缓冲区溢出攻击 “,而 Jav

			
		

	





	

		

			

				
					
XSS攻击绕过过滤方法大全(转)

				
			

			

				

					mingyqf的博客
				

				

					04-20
					
					2万+
					
				

			

		

		

			
				
XSS攻击绕过过滤方法大全(约100种)
虽然说很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS注入。
这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录,现在此XSS备忘录将由OWASP维护和完善它。
OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Cheat She

			
		

	





	

		

			

				
					
第一节 XSS跨站脚本分类-01

				
			

			

				

					09-15
				

			

		

		

			
				
XSS 跨站脚本攻击是一种常见的 Web 应用程序安全漏洞,攻击者可以通过在 Web 页面中插入恶意 Script 代码来攻击用户。为了防止 XSS 攻击,需要了解 XSS 的分类和特点。  XSS 漏洞介绍  XSS 跨站脚本攻击(Cross Site...

			
		

	





	

		

			

				
					
web安全技术-实验七、跨站脚本攻击(xss)(反射型).doc

				
			

			

				

					08-20
				

			

		

		

			
				
跨站脚本攻击(XSS)概述】  XSS,全称Cross Site Scripting,是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞向网页中注入恶意脚本,当其他用户浏览该页面时,这些脚本会被执行,从而可能窃取用户的敏感信息...

			
		

	





	

		

			

				
					
18.XSS跨站脚本攻击原理及代码攻防演示(一)1

				
			

			

				

					08-03
				

			

		

		

			
				
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全问题,它发生在攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而盗取用户数据或者控制用户浏览器的行为。XSS攻击主要分为...

			
		

	





	

		

			

				
					
前端安全跨站脚本攻击

				
			

			

				

					sunshine的博客
				

				

					08-11
					
					870
					
				

			

		

		

			
				
- 攻击者将恶意代码提交到目标网站的数据库中。
 - 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。
 - 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
 - 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。...

			
		

	





	

		

			

				
					
为什么在留言处插入<script>alert(1)</script>不弹框

				
			

			

				

					weixin_30773135的博客
				

				

					10-01
					
					1414
					
				

			

		

		

			
				
对于新手来说,往往会在留言地方插入<script>alert(1)</script>来检测是否有存储xss,事实是基本上不会弹框的,为啥?
通过查看源码,可知道<>标签被实体编码了。
是前端和后端设置了过滤?非也!。 因为有些标签自身具备htmlencode功能,标签有:
<textarea>
<title>
<ifra...

			
		

	





	

		

			

				
					
XSS注入方式和逃避XSS过滤的常用方法

					
热门推荐

				
			

			

				

					yinqiaohua的专栏
				

				

					08-01
					
					3万+
					
				

			

		

		

			
				
转自黑吧安全网http://www.myhack58.com/



web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式:

一、html标签注入

这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer)

正则过滤解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行

			
		

	





	

		

			

				
					
XSS跨站脚本攻击漏洞(1)

				
			

			

				

					weixin_51339377的博客
				

				

					04-05
					
					3197
					
				

			

		

		

			
				
XSS漏洞介绍:

xss攻击的目录就是让前端把我们的攻击代码执行

跨站攻击 全都是前端的 只需要右击查看源代码就可以查看到漏洞了

测试漏洞方式:弹窗测试(测试成功以后具体功能实现的xss代码有很多免费的xss平台 可以直接使用)

弹窗基本代码:




<script>alert(1)</script>



在输入框输入代码提交以后如果出现弹窗说明存在xss漏洞。此时提交成功可以右键在网页源代码里面看到自己提交上去的js代码

因为本身存储框,留言板这种就会在...

			
		

	





	

		

			

				
					
xss过滤技巧

				
			

			

				

					Richard_qi的博客
				

				

					04-11
					
					3609
					
				

			

		

		

			
				
xss过滤技巧(个人记录)
改变大小写
在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则:
比如:<script>alert(“xss”);</script>可以转换为:
<ScRipt>ALeRt(“XSS”);</sCRipT>

关闭标签
有时候我们需要关闭标签来使我们的XSS生效。
比如:“><script>alert(“Hi”);</script>
使用hex编码绕过
我们可以对我们的语句进行hex编码来绕过X

			
		

	





	

		

			

				
					
<script>alert('xss')</script>

				
			

			

				

					09-10
				

			

		

		

			
				
XSS跨站脚本攻击)是一种常见的安全漏洞,攻击者可以通过注入恶意脚本或代码,以获取用户的敏感信息或控制用户的浏览器行为。在这种情况下,如果用户在一个容易受到攻击的网页上执行这段代码,将会出现一个弹窗,...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值