XSS(href输出,js输出)防范措施

最新推荐文章于 2024-06-17 15:49:53 发布
最新推荐文章于 2024-06-17 15:49:53 发布
阅读量8.9k 收藏 4
点赞数 3
分类专栏: 我的笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43814486/article/details/89855663
版权

防御总的原则:根据实际情况对输入做过滤,对输出做转义

href输出漏洞:输出出现在a标签的href属性里面,可以使用javascript协议来执行js

后端:

$message=htmlspecialchars($_GET['message'],ENT_QUOTES);
$html.="<a href='{$message}'>

可以看到,虽然对htmlspecialchars()函数做了额外的处理,但是,它把输出放在了a标签的href属性里,所以我们可以用下面的payload让这种网页执行我们的代码:

javascript:alert("hello!!!")

结果如图:
在这里插入图片描述
从结果中可以看出,上面这种漏洞中我们可以轻易地利用javascript协议来执行任何我们构造的js代码。

防御:

1.a标签的href属性中一般放的是URL(链接),所以我们可以规定, 这里的输入必须以http或者https开头,否则不予以输入。
2.再对这里进行htmlspecialchars(,ENT_QUOTES)函数处理。

js输出漏洞:

输出点是在javaScript,通过用户的输入动态的生成JavaScript代码
javaScript里面是不会对tag和字符实体进行解释的,所以正常的输入得不到正常的输出,这不是我们需要的,所以,如果需要进行处理,就进行JavaScript转义处理,也就是用\ 对特殊字符进行处理。

老-男孩
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞 hrefjs输出,以及常见防范措施
Ethan024的博客
03-14 1724
XSS漏洞,hrefjs输出,以及常见防范措施(本文仅供技术学习与分享) 原则: 输入做过滤,输出做转义 过滤:根据业务需求进行过滤,比如输入点要求输入手机号,则只允许输入手机号格式的数字; 所有输出到前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到JS里面的进行js转义; 实验准备: 皮卡丘靶场:xsshref输出 皮卡丘靶场:xssjs输出 实验步骤: xsshref输出: 构造payload:javascript:alert(111)并查看源码(hr
xss防御在html属性输出,Web安全之XSShtmlspecialchars,href输出js输出
weixin_32836221的博客
06-05 433
xss之htmlspecialcharshtmlspecialchars()是PHP里面把预定义的字符转换为HTML实体的函数预定义的字符是& 成为 &amp" 成为 &quot‘ 成为 '< 成为 &lt> 成为 &gt可用引号类型ENT_COMPAT:默认,仅编码双引号ENT_QUOTES:编码双引号和单引号ENT_NOQUOTES:不编码任...
渗透测试-xss安全防御之href输出js输出
lza20001103的博客
04-24 2905
xss安全防御之href输出js输出
JAVA Web应用常见漏洞与修复建议_基于dom的xss是将用户可控的javascript数据输出到html页面中而产生的漏洞,为了避
2401_84969054的博客
05-17 450
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。[外链图片转存中…(img-xRVOqBcz-1715881670315)]
XSS注入总结
最新发布
2401_84466229的博客
06-17 1411
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…在检查到XSS攻击时,停止渲染页面。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
XSS防范措施hrefjs输出点的案例演示
weixin_43534549的博客
05-01 404
直接查看源码 如果你输入的是"www.baidu.com",它提示你:我靠,我真想不到你是这样的一个人,如果你输入的不是百度,它把你输出的内容用htmlspecialchars去进行处理,同时这里用了"ENT_QUOTES",这就意味着单引号、双引号、左右尖括号及&等特殊符号被处理,然后把它输出在a标签href属性里,那这样是不是就没有问题呢? 我们可以看到:输出在a标签的h...
Web安全入门——跨站脚本攻击XSS
wangluoanquan152的博客
01-22 1249
跨站脚本攻击XSS)是客户端安全的头号大敌,OWASP TOP 10多次把xss列在榜首。 XSS攻击是指黑客通过“HTML注入”篡改网页,插入恶意的脚本,当用户浏览该页之时,嵌入其中Web里面的html代码被执行,从而达到恶意用户的特殊目的。
xsshref输出
ljn176118045的博客
12-26 379
javascript协议可执行,虽然没学,只能借鉴一下。输入:javascript:alert(123)
xss 之herf输出
weixin_30377461的博客
08-18 368
  首先查看下漏洞页面,发现输入的1111, 直接传参到herf 中, 查阅资料得知: 输出出现在a标签href属性里面,可以使用javascript协议来执行js 查看源代码:    if(isset($_GET['submit'])){ if(empty($_GET['message'])){ $html.="<p ...
2.xss
weixin_41826065的博客
12-07 1372
XSS
html%3ca%3eid属性,XSS命令(示例代码)
weixin_35123329的博客
06-04 2250
XSS,即跨站脚本攻击,是Web程序中常见的漏洞,其原理是恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其中的Script代码自动执行,从而达到恶意攻击用户的目的。为了防止这些恶意攻击的发生,现在用户所使用的浏览器内核中一般都有XSS Filter(除Firefox外)。众所周知,XSS共有三种类型,分别是:反射型、存储型和DOM Based XSS。接下来就为大家简...
Web应用安全:href属性与src属性的XSS.pptx
06-19
href属性与src属性的XSS 4 src属性的XSS 3 src属性 2 href属性的XSS 1 href属性 目录 herf属性 href是Hypertext Reference的缩写。 意思是指定超链接目标的URL。 href 属性的值可以是任何有效文档的相对或绝对URL,包括片段标识符和JavaScript代码段。 1.herf简介 herf属性 <a> 标签href 属性用于指定超链接目标的 URL。 href 属性的值可以是任何有效文档的相对或绝对 URL,包括片段标识符和 JavaScript 代码段。 如果用户选择了 <a> 标签中的内容,那么浏览器尝试检索并显示 href 属性指定的 URL 所表示的文档,或者执行 JavaScript 表达式、方法和函数的列表。 2.herf定义 herf属性 定于语法:<a href="URL"> 3.定于语法与属性值 href属性的XSS 由于浏览器尝试检索并显示 href 属性指定的 URL 所表示的文档,或者执行 JavaScript 表达式, 所以如果我们把XSS恶意代码输出成JavaScript表达式,然后注
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
安全漏洞XSS攻击方法详解
01-26
XSS(跨站脚本攻击)是网络安全领域中一种常见...理解XSS的工作原理、潜在危害以及防范措施对于维护网络安全至关重要。开发者需要实施严格的输入验证和输出编码,而用户则需谨慎处理网络交互,以降低被XSS攻击的风险。
XSS跨站脚本攻击方法初探
06-03
本文旨在深入分析XSS攻击的各种方法,帮助读者了解其工作原理及防范措施。 #### XSS攻击原理 XSS攻击的核心在于利用Web应用的漏洞将恶意脚本注入到用户的浏览器中执行。通常情况下,Web应用在接收和显示用户提供的...
使用Javascript实现前端防御http劫持及防御XSS攻击并且对可疑攻击进行上报
08-10
httphijack 使用Javascript实现前端防御http劫持及防御XSS攻击,并且对可疑攻击进行上报 使用方法 引入 httphijack1.0.0.js httphijack.init() 防范范围: 所有内联事件执行的代码 href 属性 [removed] 内嵌的代码 ...
那些年我们一起学XSS.doc
10-06
攻击者可能利用这些属性执行JavaScript代码,比如通过链接的`href`属性构造一个`javascript:`伪协议。 4. **宽字节复仇记**: 这部分讨论了宽字节编码攻击,即利用多字节字符绕过简单的过滤机制。攻击者可以使用非...
xss防范措施hrefjs输出点的案例演示
qq_42764906的博客
04-27 821
后端代码 在 xsshref输出 中 输入 javascript:alert(111) 右键 查看源代码 ctrl+f 搜索alert
a链接执行javascript的方法
shaonian1996
08-22 7231
                            a链接执行javascript的方法 目的:禁止跳转,直接执行a链接绑定的函数 href="javascript:;",其中javascript:是伪协议,它可以让我们通过一个链接来调用javascript函数.而采用这个方式 javascript:;可以实现A标签的点击事件运行时,如果页面内容很多,有滚动条时,页面不乱跳,用户体验更好...
xss漏洞的形成原因和防范策略
05-27
XSS漏洞的形成原因是因为Web应用程序没有对用户提交的数据进行充分的验证和过滤,导致攻击者可以在页面中插入恶意脚本。当用户访问包含恶意脚本的页面时,脚本就在用户浏览器中执行,从而导致安全漏洞。 防范策略如下: 1. 输入检查:对于用户输入的数据,一定要进行有效性检查和过滤,避免攻击者利用输入来插入恶意脚本。可以使用一些过滤器和正则表达式来过滤输入数据。 2. 输出检查:在Web应用程序输出数据时,一定要对数据进行检查和过滤,避免输出恶意脚本。可以使用一些转义函数来转义输出数据中的特殊字符。 3. Cookie安全:对于包含敏感信息的Cookie,一定要设置为HTTP only,避免被恶意脚本窃取。 4. HTTPS协议:使用HTTPS协议加密数据传输,避免恶意脚本窃取敏感信息。 5. 安全更新:及时更新Web应用程序和相关组件,避免已知的安全漏洞被攻击者利用。 6. 使用CSP:Content Security Policy(CSP)可以指定Web应用程序哪些资源可以被加载,从而减少XSS攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值