Web安全漏洞与防御-XSS(一)——会话管理

最新推荐文章于 2024-04-15 22:13:21 发布
最新推荐文章于 2024-04-15 22:13:21 发布
阅读量457 收藏
点赞数 1
分类专栏: Web安全漏洞与防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38778137/article/details/85071335
版权

0x00:实验目的

  • 使用php搭建基于Server端的Session会话管理环境
  • 完成登录页面、检查登录以及清除当期会话三个功能

0x01:实验环境

  • 安装Apache、PHP、MySQL(或者phpStudy集成环境)
  • 测试PHP环境释放搭建成功

找到PHP目录…\www 新建文件phpinfo,显示PHP版本信息

<?php
	phpinfo();
?>

在这里插入图片描述

0x02:实验步骤

1、编写前端页面并测试 http://127.0.0.1/login.html

<!DOCTYPE html>
<html>
<head>
	<title></title>
	<meta charset="utf-8">
</head>
<body>
	<form action="login.php" method="POST">
		username:
		<input type="text" name="username"><br>
		password:
		<input type="password" name="password"><br>
		<input type="submit" name="submit" value="登录">
	</form>	
</body>
</html>

在这里插入图片描述

2、编写登录页面,包含session函数(仅检查用户名密码是否为admin,不连接数据库),并登录检查 http://127.0.0.1/login.php

<?php
header("Content-Type:text/html;charset=utf-8");
session_start();
$user = $_POST['username'];
$pwd = $_POST['password'];
if($user === 'admin' && $pwd ==='admin'){
	echo '登录成功';
	$_SESSION['admin'] = 1;
	var_dump($_SESSION);
}
else{
	echo '登录失败';
}
?>

在这里插入图片描述

3、编写维持会话功能,检查是否为管理员 http://127.0.0.1/check.php

<?php
header("Content-Type:text/html;charset=utf-8");
session_start();
var_dump($_SESSION);
if($_SESSION['admin'] ==1){
	echo '管理员登录';
}else{
	echo "普通登录";
}
?>

在这里插入图片描述

4、编写消除会话功能(unset()消除当前会话,session_destroy完全消除所有会话)http://127.0.0.1/unset.php

<?php
session_start();
unset($_SESSION['user']);
session_destroy();
?>

在这里插入图片描述

5、再次访问check.php 检查会话已经消除

在这里插入图片描述

qq_38778137
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞原理及防御方式
GL的博客
03-07 4149
XSS漏洞 Cross Sitescript跨站脚本攻击,客户端脚本安全中的头号大敌 XSS攻击:(需要具备两个条件) 1、需要向WEB页面注入恶意代码 2、这些恶意代码能够被浏览器成功执行 XSS攻击类型: 1、反射攻击 用户输入的数据反射给浏览器,这个数据可能是Html代码或者Js代码,反射给浏览器去执行 2、存储型攻击 用户把输入的数据(比较恶意的JS代码)储存在服务器端,具有很强的稳定性,危害时间长 XSS危害: 1、 劫持Cookie,cookie一般保存了用户
浅谈XSS漏洞原理及防御措施
m0_74131821的博客
04-04 1171
形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害
如何防止XSS漏洞
zyn8823533的博客
02-14 2128
XSS(跨站脚本攻击)是一种攻击方式,攻击者通过注入恶意脚本代码,使得网站上的其他用户在浏览该网站时执行这些脚本代码,从而达到攻击的目的。CSP(内容安全策略):CSP可以限制浏览器中可以执行的代码,通过设置CSP策略,可以限制只允许加载来自特定域名的资源,防止恶意脚本的注入。安全编码:在编写代码时,要使用安全的编码方式,例如对于用户输入的内容,使用htmlentities等转义函数进行处理。需要注意的是,以上方法并不是单独使用的,而是要结合使用,才能有效地防止XSS漏洞。
XSS攻击及防御(简单易懂)
liu_chenglong的博客
11-10 6970
翻译过来就是跨站脚本。指的是在用户浏览器上,在渲染DOM树的时候,执行了不可预期的JS脚本,从而发生了安全问题。XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。
XSS漏洞类型原理及防御方式_三种xss漏洞防御,2024年最新带你全面掌握高级知识点
最新发布
uiuuyy67的博客
04-15 2898
XSS全称是Cross Site Scripting即跨站脚本,为了与层叠样式表Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS,其本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。
最全的XSS漏洞攻防
qq_53530934的博客
12-17 1006
XSS漏洞攻防/pikachu靶场XSS破解
跨站脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 9388
跨站脚本攻击漏洞-基础篇
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
XSS跨站脚本gj剖析与防御.pdf
05-13
XSS跨站脚本攻击剖析与防御》,完整版本。作者:邱永华,出版社:人民邮电出版社,ISBN:9787115311047,PDF 格式,扫描版,大小 67MB。本资源带有PDF书签,方便...第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
web安全超实用超文档
01-06
这是一种常见的Web应用安全漏洞,攻击者通过注入恶意脚本到网页上,使得用户在不知情的情况下执行这些脚本。XSS分为反射型、存储型和DOM型三种类型。反射型XSS发生在用户点击带有恶意脚本的链接时,脚本立即被执行;...
Web——安全性测试1
08-08
综上所述,安全性测试涵盖多个层面,涉及用户身份验证、数据过滤、输入验证、会话管理等多个方面,目的是增强Web应用的防护能力,防止恶意攻击。进行安全性测试时,测试人员应全面考虑可能的攻击途径,以确保系统的...
XSS漏洞注入,分类,防御方法
Y22Lee的博客
04-06 3608
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入。XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
XSS漏洞原理及防范措施
看着博客敲代码
06-05 1738
XSS(Cross Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,允许攻击者在受害者浏览网站时,通过注入恶意脚本(如JavaScript)到网页中,从而窃取用户敏感信息、篡改页面内容或进行其他恶意行为。
如何在 PHP 中防止 XSS
allway2的博客
07-24 2101
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
什么是跨站脚本攻击(XSS)?如何在PHP应用程序中防止XSS攻击?
长风破浪会有时的博客
07-18 230
跨站脚本攻击(XSS)是一种常见的网络安全漏洞,攻击者利用这个漏洞向网页中插入恶意的客户端脚本。当用户浏览被攻击的网页时,恶意脚本将在用户的浏览器中执行,从而导致攻击者能够窃取用户的敏感信息、篡改网页内容或进行其他恶意行为。请注意,以上方法只是一些常见的防御措施,但不能保证100%防止XSS攻击。使用安全的数据库查询:当将用户输入用于数据库查询时,使用参数化查询或预编译语句,以确保输入数据被正确转义。输出编码:在将用户输入的数据输出到网页时,确保进行适当的编码,以防止浏览器将其误认为是脚本。
xss漏洞攻防
mackilo的博客
12-20 9130
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。xss是一种发生在web前端的漏洞,所以其危害的对象也主要是前端用户在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
【网安自学】XSS漏洞防御
DMHY123的博客
09-10 1317
网络安全之XSS攻击
XSS漏洞类型原理及防御方式_三种xss漏洞防御(1),三面蚂蚁核心金融部
m0_61549591的博客
04-06 582
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
web安全之kali-xss-beef剑心哥哥
12-24
Kali Linux是一种用于网络安全测试和渗透测试的操作系统,它具有强大的工具和功能,可以用于检测和解决网站的安全漏洞XSS(跨站脚本攻击)是一种常见的网络安全漏洞,可以通过在网页中插入恶意脚本来获取用户的敏感信息。 BeEF(浏览器控制框架)是一个用于检测和利用Web浏览器漏洞的工具,可以用于执行XSS攻击,获取用户浏览器的信息和控制用户的浏览器。在Kali Linux中结合使用XSS和BeEF可以实现对网站的全面安全检测和攻击。 “剑心哥哥”可能是指对网络安全有一定研究和实践经验的人,因为这些工具都需要一定的技术和知识才能使用。结合使用Kali Linux、XSS和BeEF可以帮助“剑心哥哥”对网站进行全面的安全检测,并了解和利用XSS漏洞来展示其危害性。同时,也需要“剑心哥哥”具备一定的伦理和法律意识,不能利用这些工具进行非法攻击和侵犯他人隐私。通过学习和实践网络安全相关知识,我们可以更好地保护自己的网络安全,并为网络安全事业做出贡献。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值