xss攻击与防御

最新推荐文章于 2024-07-16 09:46:04 发布
最新推荐文章于 2024-07-16 09:46:04 发布
阅读量262 收藏
点赞数
分类专栏: 漏洞利用 文章标签: xss 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43536831/article/details/104754053
版权

XSS有三种类型

存储型
特点:经过后端和数据库、危害较大

反射性
经过后端,不经过数据库

DOM型
不经过后端和数据库

XSS平台

https://xss.pt/xss.php

xss无过滤代码

<?php if(isset($_POST['submit'])){ $name = $_POST['input']; echo " 
Hello  ${name}
"; } ?>

从源码可以看出对input没有做任何过滤
可以直接构造

payload: 输入框中输入即可成功执行

xss仅用str_replace过滤代码

<?php if(isset($_POST['submit'])){ $name = str_replace("

我们可以采用双写绕过
payload: <scr 或

xss正则表达式绕过

<?php if(isset($_POST['submit'])){ $name = preg_replace( "/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i","",$_POST['input']); echo " 
Hello  ${name}
"; } ?>

这里的正则表达式导致script无法使用

则我们使用

进行绕过

若是对"<“和”>“进行了编码
我们可以先将”<“和”>"进行url编码
即 3Cscript%3Ealert%281%29%3C/script%3E

xss的防御

将我们需要的值在本文里为input的值过滤时使用 htmlspecialchars(string)即可防御

exp: htmlspecialchars($_POST[‘input’])

CMACCKK
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss攻击防御
lmsfv的博客
05-11 350
身为服务器的开发者,我们时无法相信用户输入的任何东西的。比如:金额不能从前端传过来,使用会失效的token等。当然,用户除了会传入一些假数据,也会传入一些假的脚本,比较出名的就是xss攻击 网上有很多说解决xss攻击的方法,有很多都是和前端有关,而实际上,在后台这最后一个防御当中,是最为重要的。 在mall4j这个项目里面,使用了一个过滤XssFilter public class XssFilter implements Filter { Logger logger = LoggerFacto
XSS防御与攻击 基础防范
jokeruan的博客
08-31 255
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 XSS攻击 XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based XS
防止xss和sql注入:JS特殊字符过滤正则
12-01
代码如下:function stripscript(s) { var pattern = new RegExp(“[%–`~!@#$^&*()=|{}’:;’,\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“’。,、?]”)        //格式 RegExp(“[在中间定义特殊过滤字符]”)var rs = “”; for (var i = 0; i < s.length; i++) {  rs = rs+s.substr(i, 1).replace(pattern, ”); }return rs;}
XSS攻击防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
12防止XSS注入攻击(正则篇)
最新发布
m0_64904350的博客
07-16 402
发布留言
XSS攻击防御
创世元年
04-27 1089
XSS攻击防御 1 背景知识1.1 什么是XSS攻击XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算 ...1 背景知识1.1 什么是XSS攻击XSS攻击:跨站脚本攻击(Cross Site
防御XSS的七条原则
收集盒 Book box
09-06 1021
前言 author: shineforyou 本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》 攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为没有办法知道这段脚本是不可信的,所以依
Web安全XSS攻击防御小结
02-23
攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,...
vue 如何防止xss攻击 框架_xss攻击防御
weixin_42397220的博客
12-31 1899
一、XSS攻击Cross Site Scripting跨站脚本攻击利用js和DOM攻击。盗用cookie,获取敏感信息破坏正常页面结构,插入恶意内容(广告..)劫持前端逻辑DDos攻击效果——分布式拒绝服务攻击Server Limit Dos,Http header过长,server返回400二、攻击原理和手段攻击方式反射性存储性1、反射型攻击发出请求时,XSS代码出现在URL中,作为输入提交到服...
8、XSS 攻击的防御pdf资料
10-15
为了防御XSS攻击,开发者需要采取一系列措施,包括但不限于: - 对用户输入进行严格的过滤和转义,确保任何可能包含恶意脚本的数据在显示之前都被安全处理。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制...
XSS 的攻击和防御
dzqxwzoe的博客
01-14 220
Cross Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使其在用户的浏览器上运行。通过这些恶意的脚本,攻击者可获取用户的敏感信息如:Cookie、Session等。Cross Site Scripting 的英文首字母缩写应为 CSS,但是因为其和我们的样式语法 CSS(Cascading Style Sheets)一样,所以将 CSS 改成 XSS
java xss 正则表达式_java 防止 XSS 攻击的常用方法总结.
weixin_42515380的博客
02-24 2400
java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击.,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻击呢,下面给出几...
预防XSS 正则表达式
weixin_37823121的博客
06-15 3421
var prevent= /^[^`~!#$%^&*+=\\|{};:"',/<>?]*$/; returnprevent.test(str); // 简单粗暴
正则过滤敏感字符来解决XSS
戴眼镜的盲人键盘手
01-06 1万+
今天系统出了一个漏洞,XSS(跨站脚本攻击),系统中的表单提交时填写特殊字符,会报错,影响系统的稳定性。 漏洞描述: 在一个表单文本框中写"><script>alert(/xsstest/)</script> 提交表单时,会把文本中的字符当做script 代码解析出来。这个漏洞可用于钓鱼攻击或者窃取用户cookie。从而登录他人账户。所以要对用户输入的信息进行处理,来解决这个问题
常用正则表达式大全(Xss防范、sql注入、手机邮箱验证等等,持续补充~)
少说,多做
05-20 1万+
常用正则表达式大全 文章目录一、安全防范类1.SQL注入1.Xss拦截二、常用校验类1.手机号校验2.邮箱校验3.邮政编码校验4.IP地址校验使用示例 一、安全防范类 1.SQL注入 (\=.*\-\-)|(\w+(%|\$|#|&)\w+)|(.*\|\|.*)|(\s+(and|or)\s+)|(\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|mast
XSS漏洞原理及防范措施
看着博客敲代码
06-05 1797
XSS(Cross Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,允许攻击者在受害者浏览网站时,通过注入恶意脚本(如JavaScript)到网页中,从而窃取用户敏感信息、篡改页面内容或进行其他恶意行为。
web安全XSS攻击原理及防范
2401_83915812的博客
03-29 823
javascript是前端必要掌握的真正算得上是编程语言的语言,学会灵活运用javascript,将对以后学习工作有非常大的帮助。掌握它最重要的首先是学习好基础知识,而后通过不断的实战来提升我们的编程技巧和逻辑思维。这一块学习是持续的,直到我们真正掌握它并且能够灵活运用它。如果最开始学习一两遍之后,发现暂时没有提升的空间,我们可以暂时放一放。继续下面的学习,javascript贯穿我们前端工作中,在之后的学习实现里也会遇到和锻炼到。真正学习起来并不难理解,关键是灵活运用。
常见的XSS 注入攻击方式及预防
shyu1989的专栏
12-27 3693
常见的XSS 注入攻击方式及预防 转自:http://hi.baidu.com/annexmicro/item/22713fe7e5cb12aac00d757d 前端开发常见的安全问题就是会遭受 XSS 注入攻击,这里列举常见的代码注入方式。 Javascript 代码注入 Javascript 代码注入主要表现为直接引用未经校验的字符串、解析不安全的 JSON 数据(包括 JSO
XSS攻击防御详解:原理、策略与实战示例
了解XSS攻击的工作原理和防御方法对于保障Web应用的安全至关重要。开发人员需要在设计和实现过程中充分考虑这些安全问题,确保用户数据的安全性和网站的稳定性。同时,定期更新安全防护措施,跟进最新的攻击手段,是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值