用HTML+PHP写一个留言板来进行XSS测试&学习 第二篇(POST储存型)

最新推荐文章于 2023-03-11 18:00:00 发布
最新推荐文章于 2023-03-11 18:00:00 发布
阅读量2.1k 收藏 3
点赞数 2
分类专栏: 技术培训 文章标签: XSS html 表单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38219257/article/details/69808812
版权
本文通过PHP和HTML创建了一个能将用户输入存入数据库并读取的留言板,模拟了储存型XSS攻击,旨在学习和测试XSS攻击与防御。在下一章,作者计划加入XSS过滤代码,以探讨绕过技术。
摘要由CSDN通过智能技术生成

第一篇写的留言板实在不叫留言板,只能是个反射型的简单应用


为了学习储存型XSS的攻击与防护,现在还需要写一个能提交到数据库里并且能被网页读取的留言板



我用到了POST ,数据库则用生成文本,读取文本来简单模拟过程

文件名:chc_index.php

<meta http-equiv="Content-Type" content="text/html;charset=utf-8"/>
<html>
<head>
<title>GUEST BOOK ,HELLO LOSER</title>
</head>
<body>
<br />
<br />
<h2>留言板<h2>

<form action="chc_index.php" method="post">
info:<textarea id='uid' name="desc"></textarea>
<br>
<br>
user:<input type=&
最低0.47元/天 解锁文章
JackholeLJH
关注
专栏目录
XSS留言板实现
极客剑寮
02-21 1283
XSS留言板实现 XSS 留言板实现-笔记 预备知识 XSS漏洞 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩混淆,故将跨站脚本攻击缩XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS最...
phpcms某处储存XSS(demo+本地演示)
weixin_30693683的博客
01-23 78
详细说明: demo+本地演示存在XSS的地方在商务中心的商家资料的我的资料的Email那里(这句话好绕口。。),属于过滤不严格随便插字符的问题,我直接在Email那里上"/><svg onload=alert(/1/)>可以看到是正确的 然后点击提交可以看到说操作成功 然后来到我们的企业首页查看可以看到成功弹窗 再查看下...
XSS攻击
gghhb12的博客
03-29 4638
XSS攻击
php截获用户明文密码,【超详细入门教程】通过xss获取管理员明文账号密码
weixin_34533343的博客
03-16 385
本帖最后由 说书人 于 2019-12-17 03:56 编辑0x00前言本文所讲的知识点很早就有,只是因为最近小伙伴讨论的比较多,而且很多小伙伴不太明确流程,故有了此文,大佬请忽略xss大家都不陌生,最常用的就是打管理员cookie然后拿到后台权限。但是在实战过程中会碰到很多因素导致无法获得权限或者权限维持困难,下面列举了三点。随着开者安全意识的提高,现在基本上都是开了httponly了...
HTML+PHP一个留言板进行XSS测试&学习 第一篇(GET反射
JackholeLiu的博客
04-08 1417
近期学习xss,需要设计一个留言板进行储存xss测试 不太会htmlphp,但是又百度不到合适的代码,现网上缺少这种资源,因此我要把学习和编过程记录下来,一来提升了自己,二来方便跟我有相同需求的后人 思路:HTML 主要负责表单,用GET与PHP进行交互 首先去学习html form标签 在标签里面有属性action后面的参数是定位你的数据传输到哪个文件(用
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5633
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
Web漏洞_XSScookie与session、DVWA1.9版本XSS反射存储靶机实验、BeEF基本使用)
BeatRex的博客
04-05 1678
一、原理 二、分类 三、绕过 注意标签的闭合 大小绕过 双绕过 图片标签加事件绕过 <img src=# alert('xss')>)
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3172
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
网站通用留言板完整代码【通过测试
05-07
留言板经过修改测试,可直接应用于各种网站,留言本设置功能完善,所有留言可设为公开、不公开、审核后公开,安全性高,有设置非法字符过滤功能,杜绝非法言辞提交,保证你的网站安全。
xss漏洞1
weixin_50887021的博客
06-10 431
xss漏洞简介xss脚本报警弹窗脚本访问网页脚本cookie脚本不断刷新脚本危害三级目录 简介 XSS最大的特点就是能够注入恶意的HTML/JavaScritp代码到用户浏览的页面上,从而达到劫持用户会话的目的。究其原因,是由于web应用程序对用户的输入过滤不严造成的,当用户浏览带有恶意代码的网页时,就会执行其中的恶意代码。由于HTML代码和客户端JavaScript脚本能够在受害者主机上的浏览器任意执行,这样等同于完全控制了WEB客户端。在这个基础上黑客可以轻易的cookie资料窃取,会话劫持,钓鱼
实验三 XSS和SQL注入
m0_62685257的博客
11-21 674
实验三 XSS和SQL注入
XSS大全
weixin_46601374的博客
03-01 8326
XSS的原理和特性 xss:将用户的输入当作前端代码执行 注入攻击的本质,是把用户输入的数据当做代码执行。 这里有两个关键条件: 第一个是用户能够控制输入 第二个是原本程序要执行的代码,拼接了用户输入的数据 html:定义了网页的结构 css:美化页面 js:可以操浏览器 XSS主要拼接的是什么 SQL注入拼接的是操作数据库的SQL语句。 XSS拼接的是网页的HTML代码,一般而言我们是可以拼接出合适的HTML代码去执行恶意的JS语句(总结:xss就是拼接恶意的HTMLxss
[ pikachu ] 靶场通关之 XSS (三) --- 存储 XSS
qq_51577576的博客
01-14 2695
???? 博主介绍 ????‍???? 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 ????点赞➕评论➕收藏 == 养成习惯(一键三连)???? ????欢迎关注????一起学习????一起讨论⭐️一起进步????文末有彩蛋 ????作者水平有限,欢迎各位大佬指点,相互学习进步! 目录 ???? 博主介绍 一、存储 XSS 二、过关: 1. 页面展示 2. 判断是否存在 XSS
存储XSS的攻防:不想做开的黑客不是好黑客
最新发布
javagty6778的博客
03-11 407
我举个例子吧,当你想在HTML页面上显示一个小于号(
xss跨站脚本攻击
开心星人的博客
02-26 6478
概述: 主要指攻击者可以再页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份、钓鱼、传播恶意代码和控制用户浏览器等行为 产生原因: 由于web程序对用户的输入过滤不足、,导致用户输入的恶意HTML/Javascript 代码注入到网页中,混淆原有语义,产生新的恶意语句。在其他用户访问网页时,浏览器就会触恶意的网页代码,从而达到XSS攻击的目的 分类: 反射:恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击 输入: 输
第三章:为了更多的权限!留言板
m0_51195235的博客
12-26 686
第三章:为了更多的权限!留言板
XSS漏洞详解
热门推荐
xcxhzjl的博客
11-18 2万+
一、XSS漏洞原理 XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。 当应用程序没有对用户提交的内容进行验证和重新编码,而是直接呈现给网站的访问者时,就可能会触XSS攻击。 二、XSS漏洞的危
PHP一个反射xss为输入的示例
02-21
一个简单的示例可以是: <?php class ReflectedXSS { public function input($data) { echo '<script>alert("'.htmlentities($data).'")</script>'; } }$r = new ReflectedXSS(); $r->input($_GET['data']); ?>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值