上网冲浪发现多处XSS

最新推荐文章于 2024-11-01 11:21:19 发布
最新推荐文章于 2024-11-01 11:21:19 发布
阅读量645 收藏
点赞数 3
文章标签: xss 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56313338/article/details/133867876
版权

在这里插入图片描述

突然的发现

今天上网冲浪,突然想起来有一种神器,叫废话生成器,之前是在哪里下了个软件玩了一下,然后就给删除了,因为我觉得这个软件不过就是调用了一个web接口实现的,一个网页能解决的事还要我下一个软件。
在这里插入图片描述
于是乎,我搜索找到一个网站
在这里插入图片描述
在这里插入图片描述
点击生成后,一篇牛头不对马嘴的文章生成了,当时就挺好奇的,我多次点击生成,反应速度也快,而且内容相似
我ctrl + f进行搜索这个关键字。
在这里插入图片描述
看到结果的瞬间脑子里突然有个想法,有没有可能有XSS漏洞呢,因为结果直接反应在网页上
于是乎
在这里插入图片描述
果然,有XSS注入,我换成了图片
在这里插入图片描述
很哇塞有没有

漏洞的成因

通过进一步研究,发现是一个DOM型的XSS漏洞,因为根本就没有网络请求
看了下源代码,漏洞应该是从这里产生的
在这里插入图片描述
使用了InnerHtml,也是够省事了,而且变量命名和函数命名我也是第一次见,直接用中文了
在这里插入图片描述

其他

我去逛了很多其他相同功能的网站,居然无一幸免!全部都有DOM型的XSS,要不是看了源码,我真以为用的同一套源码呢

如何防范

对于用户的输入要回显在网页上,除了服务器要使用HTML编码外,在本身js尽量避免使用innerHTML,而是用innerText

bug小空
关注
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
XSSBypass:XSS绕过技术
05-17
- 存储型XSS:攻击者的脚本被存储在服务器上,然后在多个用户访问同一页面时触发。 - 反射型XSS:脚本通过URL参数传递,只有当用户点击恶意链接时才会被执行。 - DOM-Based XSS:不涉及服务器,而是由于网页DOM...
浅析新浪微博Web蠕虫事件 XSS漏洞
weixin_33716941的博客
07-04 683
  6月28日晚间20时左右,新浪出现了一次比较大的XSS(跨站脚本)漏洞***,"中毒"的微博用户会自动向自己的粉丝发送诸如"建党大业中穿帮的地方"、"个税起征点有望提到4000"、"郭美美事件的一些未注意到的细节"、"3D肉团团高清普通话版种子"等含毒的微博与私信,并自动关注一位名为hellosamy,粉丝点击后会再次中毒,然后形成恶性循环。新浪微博蠕虫爆发仅执续了16分...
目前我见过最好的跨域解决方案!
独行侠梦的博客
12-27 182
作者:campcc来源:https://github.com/campcc/blog今天我们来聊一个老生常谈的话题,跨域!又是跨域,烦不烦 ?网上跨域的文章那么多,跨的我眼睛都疲劳了,不看...
这可能是最好的跨域解决方案了
民工哥的博客
12-14 497
点击关注公众号,回复“1024”获取2TB学习资源!今天我们来聊一个老生常谈的话题,跨域!又是跨域,烦不烦 ?网上跨域的文章那么多,跨的我眼睛都疲劳了,不看了不看了 ???? 别走...我尽量用...
可能是最好的跨域解决方案了
程序猿DD
11-08 201
作者 |campcc来源 |https://github.com/campcc/blog今天我们来聊一个老生常谈的话题,跨域!又是跨域,烦不烦 ?网上跨域的文章那么多,跨的我眼睛都疲劳...
前端面试宝典(内容很多,也有很多重复)
Night_Emperor的博客
07-16 4276
文章转自:http://blog.csdn.net/liuwengai/article/details/52751565?locationNum=1&fps=1 二、JS基础 1、javascript的typeof返回哪些数据类型 Object number function boolean underfind 2、例举3种强制类型转换和2种隐式类型转换? 强
[NOTE] Pikachu靶场练习笔记
qq_43266093的博客
11-28 3013
[NOTE] Pikachu靶场练习笔记 文章目录[NOTE] Pikachu靶场练习笔记前言暴力破解基于表单的暴力破解验证码绕过(on server)验证码绕过(on client)token防爆破Burp Suite第一种方法第二种方法两种方法比较自写脚本Cross Site Scripting概述攻击者端cookie搜集信息钓鱼键盘记录反射型XSS(GET)反射型XSS(POST)存储型XSSDOM型XSSDOM型XSS-XXSS之盲打XSS之过滤XSS之htmlspecialcharsXSS之hre
现代主流浏览器集成的6大安全技术
这里是二进制空间安全博客,主要分享网络安全、信息安全和数据安全相关的技术文章。内容覆盖编程语言、基础知识、漏洞分析、攻防技巧、安全工具使用、最佳实践等安全技术主题。
11-15 514
浏览器已经成为人们访问互联网必不可少的工具。作为用户访问互联网的主要工具,浏览器自然成为网络攻击者和安全研究人员的重要目标。一方面,互联网的快速发展吸引了众多厂商参与到浏览器市场份额的争夺战中, 他们不断丰富浏览器功能并提升浏览器的安全性。另一方面,浏览器安全又与Web安全标准紧密相关, 厂商在提升浏览器安全性的同时也积极参与安全标准的制定, 使自己的产品获得竞争优势,而新的安全标准又促使厂商积极更新自己的产品, 以免被市场淘汰, 这样便形成良性竞争, 使浏览器在安全性各方面越来越趋于完善。
计算机网络知识总结
mangen9523的博客
08-08 825
SSL/TLS协议的基本思路是采用公钥加密法,也就是说,客户端先向服务器端索要公钥,然后用公钥加密信息,服务器收到密文后,用自己的私钥解密。客户端发送一个连接请求到服务器,并请求建立 SSL/TLS 连接。服务器会发送包含公钥的数字证书给客户端。证书由受信任的第三方机构(CA,Certificate Authority)签名,用于验证服务器的身份。服务端还保存着对应的私钥。客户端验证服务器的证书,包括检查证书的有效性和真实性。如果证书可信,则继续进行握手。
打造属于自己的火狐插件浏览器
weixin_30300523的博客
06-02 337
Firefox是个伟大的浏览器,尽管有时它备受诟病。但每个Firefoxer都能感受到这款浏览器的优秀特质,比如高效、安全、跨平台等。下面我主要说的是它的扩展性,说说我常用的七种扩展,谓之:七种武器。 第一种武器:长生剑 FirebugFirebug可谓是前端工程师用作测试的神兵利器,熟悉非常。下面主要给一些不太熟悉的狐狸精作下简介,共同学习。在扩展搜索界面搜索"Firebug"即可下载安装Fi...
最新完善版XSS平台源码 【40多个模块】,xss源码下载,PHP
03-26
此外,该平台可能还包含了一些检测和修复工具,如XSS审计工具,可以帮助开发者在代码审查阶段发现潜在的XSS问题。同时,可能还会有一些安全编程的最佳实践,教导开发者如何编写更安全的代码,比如使用安全的函数库,...
XSS
03-13
XSS,全称为“跨站脚本攻击”(Cross-Site Scripting),是网络安全领域中常见的一种攻击方式,主要用于窃取用户的敏感信息,如cookies、会话令牌等。这种攻击通常发生在Web应用中,攻击者通过注入恶意脚本,使得...
xss特殊字符拦截与过滤
04-01
XSS攻击是指攻击者通过在Web页面插入恶意脚本代码,当其他用户浏览这些页面时,嵌入其中的脚本就会执行,从而盗取用户信息或者篡改网页。本篇代码展示了如何通过编程手段拦截和过滤这些危险代码,保障Web应用程序的...
PHP的 CSRF、XSS 攻击和防范
sheji888的专栏
10-29 588
在这类攻击中,攻击者通过利用网页开发时留下的漏洞,注入恶意指令代码到网页,使用户加载并执行这些恶意制造的网页程序。在这种攻击中,攻击者利用已认证的用户身份,在用户不知情的情况下伪造请求,冒充用户的操作向目标网站发起请求。这种攻击通常利用用户浏览器的跨站请求机制,使用户在浏览器中加载恶意的URL或点击恶意链接,从而实现攻击的目的。综上所述,通过综合运用以上策略,可以显著降低CSRF和XSS攻击的风险,为用户和组织提供安全的网络环境。:进行定期的安全测试和渗透测试,模拟XSS攻击并评估防御机制的有效性。
xss跨站及绕过与防护
weixin_67289581的博客
10-27 804
它主要是指攻击者可以在页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份/钓鱼/传播恶意代码等行为。
XSS-libs
2303_77961060的博客
10-30 453
alert(1)
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞
huanghm88的专栏
10-31 1050
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,以下是对它的详细介绍:&"'
深入解析哈尔滨二级等保下的XSS跨站脚本攻击及其防御策略
最新发布
weixin_62641226的博客
11-01 448
XSS跨站脚本攻击是一种严重的网络安全威胁,尤其在信息系统安全等级保护的背景下,防范此类攻击显得尤为重要。通过对输入进行严格验证、输出进行编码、使用安全标志、实施内容安全策略以及定期进行安全审计等措施,可以有效降低XSS攻击的风险。同时,提升用户的安全意识也是防范攻击的重要环节。只有综合运用多种防御策略,才能在复杂的网络环境中保障信息系统的安全。
360发现Ecshop会员中心严重XSS漏洞修复方法
在360安全扫描中发现了一个严重级别的漏洞,涉及到的是Ecshop(一个开源电子商务系统)的会员中心存在XSS(跨站脚本攻击)漏洞。这个漏洞可能允许恶意用户通过用户输入的数据注入恶意脚本,从而在访问者浏览器上执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值