用HTML+PHP写一个留言板来进行XSS测试&学习 第三篇(简单的过滤标签功能实现&绕过)

最新推荐文章于 2023-10-08 14:01:14 发布
最新推荐文章于 2023-10-08 14:01:14 发布
阅读量2.3k 收藏
点赞数 3
分类专栏: 技术培训 文章标签: XSS php html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38219257/article/details/69841146
版权
本文介绍了如何使用PHP的filter_var函数添加一个简单的过滤<script>标签的功能,以防止XSS攻击。通过FILTER_CALLBACK参数,自定义了convertscript()函数来定义过滤规则。然而,文章也指出这种过滤方式可通过构造特殊字符序列如<scr<script>ipt>或大小写混合来绕过。作者提到由于非循环检测,仅过滤一次,这为攻击者提供了可能的漏洞,并预告下篇文章将探讨宽字节绕过的环境搭建。
摘要由CSDN通过智能技术生成

这次我们要给前一篇文章写的简易“入库”留言板添加一个功能,实现初级的过滤

留言板代码请看:http://blog.csdn.net/qq_38219257/article/details/69808812

因为是功能示范,暂时就写一个过滤<script>标签的简单方法


这次用到了PHP中的 过滤器
filter_var  期中的参数FILTER_CALLBACK可以自定义数组进行过滤,用户可以自己构造函数,定义过滤规则


function convertScript($string) //自己构建一个函数,以字符串作为形参
{
return str_replace("<script>", "", $string);//返回值中进行替换操作,将<script> 替换为空
}                                         //
fwrite($log,filter_var($_POST['user'], FILTER_CALLBACK, array("options"=&g
最低0.47元/天 解锁文章
JackholeLJH
关注
专栏目录
XSS留言板实现
极客剑寮
02-21 1283
XSS留言板实现 XSS 留言板实现-笔记 预备知识 XSS漏洞 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩混淆,故将跨站脚本攻击缩XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS最...
HTML+PHP一个留言板进行XSS测试&学习 第一篇(GET反射型)
JackholeLiu的博客
04-08 1418
近期学习xss,需要设计一个留言板进行储存型xss测试 不太会htmlphp,但是又百度不到合适的代码,发现网上缺少这种资源,因此我要把学习和编过程记录下来,一来提升了自己,二来方便跟我有相同需求的后人 思路:HTML 主要负责表单,用GET与PHP进行交互 首先去学习html form标签标签里面有属性action后面的参数是定位你的数据传输到哪个文件(用
html漂亮留言板模板_Django实战项目2-云端留言板
weixin_39598954的博客
11-22 2494
Django实战项目2-云端留言板一、 基本功能1、 提交留言功能用户指定自己的名字A,指定任意名字B,向B留言,记为msg,留言保存在云端。2、 获取留言功能输入名字A,云端返回10条最新留言记录。二、 开发流程设计1、 新建工程 cloudms2-1、新建应用 msgapp2-2、增加模板,即显示界面的...
留言板测试
执子之手 与子偕老--小魏专栏
08-22 841
//实例化编辑器         //建议使用工厂方法getEditor创建和引用编辑器实例,如果在某个闭包下引用该编辑器,直接调用UE.getEditor('editor')就能拿到相关的实例         var ue = UE.getEditor('content');         // var neirong = UE.getEditor('editor').getCo
HTML5本地储存实现--简易留言板
热门推荐
删库跑路
06-15 1万+
效果展示:“` 简易留言板
HTML+PHP一个留言板进行XSS测试&学习 第二篇(POST储存型)
JackholeLiu的博客
04-09 2197
第一篇留言板实在不叫留言板,只能是个反射型的简单应用 为了学习储存型XSS的攻击与防护,现在还需要一个能提交到数据库里并且能被网页读取的留言板 我用到了POST ,数据库则用生成文本,读取文本来简单模拟过程 文件名:chc_index.php GUEST BOOK ,HELLO LOSER 留言板 info: user: <?php if(
关于对XSS原理分析与绕过总结
最新发布
stopys6的博客
10-08 2436
如果服务器与客户端之间要传输某个特殊字符,像是<>,'等这类会被当做标签或者属性值等来解析的字符,为了避免歧义就需要使用到HTML实体化编码来进行编码了。Q2、HTML编码的几种方式别名形式:因为比较多可以见HTML 字符实体 (w3school.com.cn)十六进制:像就会被编码为<div>十进制:上述标签在十进制会被编码为<div>Q3、为什么需要JavaScript解码?通过JavaScript编码,可以对特殊字符进行转义,防止数据在传输过程中产生语法错误或安全漏洞。
XSS漏洞学习笔记
qi_SJQ_的博客
12-31 2632
xss学习笔记
渗透测试-XSS
SK1ng的博客
10-03 2644
XSS 原理 XSS 即跨站脚本攻击(Cross Site Script),通过构造代码(JS)注入网页中,并由浏览器解释运行这段JS代码,以达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段浏览器代码,也就是用户被攻击了 微博、留言板、聊天室、订单等等收集用户输入的地方,都有可能被注入XSS 代码,都存在遭受XSS 攻击的风险,只要没有对用户的输入进行严格的过滤,就会被XSS 攻击 危害 盗取各种用户账户 盗取用户Cookie资料,冒充用户身份进入网
网站通用留言板完整代码【通过测试
05-07
留言板经过修改测试,可直接应用于各种网站,留言本设置功能完善,所有留言可设为公开、不公开、审核后公开,安全性高,有设置非法字符过滤功能,杜绝非法言辞提交,保证你的网站安全。
web前端留言板代码包
04-28
web前端留言板代码包
DVWA:SQL;留言簿:XSS
qq_50034496的博客
11-24 467
DVWA:SQL;留言簿:XSS
HTML5本地数据库留言版功能
sweetllh的博客
07-30 2663
<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title></title> <style type="text/css"> #box{ width:300px; height:200px;
php留言过滤特殊字符,php过滤特殊字符实用函数
weixin_42213784的博客
03-11 175
//特殊字符过滤function htmldecode($str){if(empty($str)) return;if($str=="") return $str;$str=str_replace("&",chr(34),$str);$str=str_replace(">",">",$str);$str=str_replace("$str=str_replace("&"...
php过滤 后面的内容,php通过两层过滤获取留言内容的方法
weixin_35011300的博客
04-14 88
本文实例讲述了php通过两层过滤获取留言内容的方法。分享给大家供大家参考,具体如下://两层过滤,获取留言的内容$str='测试文字1楼主留言:测试文字2..';//$str='厉害';//preg_match("/[^.*](style=\"font-size:14px;line-height:150%;padding:10px;\">)(.*).*$/",$str, $str_arr);...
php 留言敏感词,过滤/替换***
m0_37028733的博客
07-31 3000
后台 php简单的留言替换’*‘功能 str=”前端提交的留言内容”;str=”前端提交的留言内容”;str=”前端提交的留言内容”; txt = file(‘filter.txt’);//获取文件变为数组 foreach(txtastxtastxt as key=&amp;gt;val){val){val){ ...
php ---- 过滤 html 标签
Hani的 编程生活
07-09 775
/**  * t函数用于过滤标签,输出没有html的干净的文本  * @param string text 文本内容  * @return string 处理后内容  */ function op_t($text) {     $text = nl2br($text);     $text = real_strip_tags($text);     $text = addslas
一个简单XSS攻击示例及处理
麦芽面包 (源码:咖啡:红茶)
08-28 827
最近项目被第三方工具扫描出来有一个Http head xss cross scripting漏洞,为了修复这个,顺便研究了一下跨站脚本攻击的原理, 跨站脚本攻击基本上就是sql注入的html版, 核心内容就是把一段精心设计的脚本通过网页中的html漏洞由HTTP GET/POST传给服务器并执行. XSS主要有两种,一种是注入的链接需要骗人来点击,目的是劫持用户的cookie; 一种是该脚本已...
突破XSS测试绕过JavaScript的攻击策略与检测工具
XSS漏洞测试的关键在于理解如何绕过JavaScript的防御机制,因为许多攻击往往通过巧妙地插入恶意脚本来实施。攻击路径可能包括但不限于以下两种常见的XSS输入形式: 1. JavaScript脚本:攻击者可能会利用诸如`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值