登陆页面用户名输入框存在XSS跨站漏洞

最新推荐文章于 2024-05-05 15:09:27 发布
最新推荐文章于 2024-05-05 15:09:27 发布
阅读量3.6k 收藏 4
点赞数 1
分类专栏: XSS攻击 java 文章标签: XSS攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seeyou_y/article/details/102520038
版权

跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码。

成功的跨站脚本攻击所带来的主要问题包括:

帐号劫持 - 攻击者可以在会话cookie过期之前劫持用户的会话,并以访问ULR用户的权限执行操作,如发布数据库查询并查看结果。

恶意脚本执行 - 用户可能在不知情的情况下执行攻击者注入到动态生成页面中的JavaScript、VBScript、ActiveX、HTML甚至Flash内容。

这里介绍一种方便的解决方案:
利用一个工具类过滤用户输入的敏感攻击字段
废话不多说直接把工具类的代码奉上

package com.bwton.util;

import org.apache.commons.lang3.StringUtils;

import java.text.CharacterIterator;
import java.text.StringCharacterIterator;

public class EncodeUtil {

    public static String HTMLEncode(String aText){
        if(aText==null){
            return null;
        }
        final StringBuilder result = new StringBuilder();
        final StringCharacterIterator iterator = new StringCharacterIterator(aText);
        char character =  iterator.current();
        while (character != CharacterIterator.DONE ){
            if (character == '<') {
                result.append("&lt;");
            }
            else if (character == '>') {
                result.append("&gt;");
            }
            else if (character == '&') {
                result.append("&amp;");
            }
            else if (character == '\"') {
                result.append("&quot;");
            }
            else {
                result.append(character);
            }
            character = iterator.next();
        }
        return StringUtils.replace(result.toString(),"/","").replace("\\","")
                .replace("+","").replace(",","").replace("=","")
                .replace("%","")
                .replace("&","").replace("'","")
                .replace("\"","").replace("?","").replace("(","")
                .replace(")","").replace("$","");
    }


}

然后下面就好说了,把前台拿到的user.username用工具类处理一下就可以了

user.setUsername(EncodeUtil.HTMLEncode(login.getUsername()));
WSYCJY
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修复swfupload2.5版存在XSS攻击漏洞
10-08
修复swfupload2.5版存在XSS攻击漏洞,测试无错误版本。
xss脚本攻击-运维安全详细笔记
06-30
xss脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss脚本攻击的知识点总结: 1.xss脚本攻击的定义 ...
登录框漏洞
Grey的博客
08-06 7198
继上次登陆框引起的血案这个文章之后,时隔一个月笔者又写了续集,呃……升华版。 0×00 文章内容结构图 0×01 信息泄露 利用泄露的信息可以大大增加我们的可测试点,从而增加我们的成功率。 1. HTML源代码 必看的肯定要属HTML源代码了,源代码里包含了下面所说的JS文件。HTML源代码会泄露很多信息,像程序员未删除的注释、敏感路径等都可能在HTML源代码中找的到,从来增加发现漏...
XSS漏洞
F2444790591的博客
06-22 778
攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行,将用户的信息发送给攻击者。 反射型XSS也被称为非持久性XSS,是现在最容易出现的一种 XSS 漏洞。当用户访问一个带有XSS代码的URL请求时,服务器端接收数据后处理,然后把带有XSS 代码的数据发送到浏览器,浏览器解析这段带有XSS 代码的数据后,最终造成XSS 漏洞。这个过程就像一次反射,故称为反射型XSS。 允许用户存储数据
2024年一个登录框引发的“安全问题”_登录绕过漏洞修复建议,2024年最新网络安全ui基础
最新发布
2401_84520377的博客
05-05 869
不使用前端校验,严格校验用户的数据。
一个文本框可能存在哪些漏洞
tlovejr的博客
02-28 889
一个文本框可能存在哪些漏洞 前言用户名枚举弱口令空口令登录认证绕过存在暴力破解风险图形验证码不失效短信验证码绕过短信验证码可暴力破解短信验证码可预测短信炸弹恶意锁定问题密码明文传输反射型脚本攻击万能密码sql注入任意用户密码修改/重置目录遍历敏感文件信息泄漏框架漏洞SSO...
XSS(脚本攻击)漏洞理解
向上的"狼"的博客
07-16 2341
XSS(脚本攻击)漏洞理解
XSS攻击
summer_fish的专栏
04-11 2507
前端有哪几种攻击方式? XSS攻击 CSRF攻击 点击劫持 URL跳转漏洞 什么是XSS攻击? XSS(Cross-Site Scripting,脚本攻击)是一种代码注入攻击。攻击者在目标网上注入恶意代码,当用户(被攻击者)登录网时就会执行这些恶意代码,通过这些脚本可以读取cookie,session tokens,或者网其他敏感的网信息,对用户进行钓鱼欺诈。 XSS的本质:恶意代码未经过滤,与网的正常代码混在一起,浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。由于直接在
XSS脚本攻击漏洞修复方法
06-18
NULL 博文链接:https://gqsunrise.iteye.com/blog/2214704
Laravel5中防止XSS攻击的方法
10-21
主要介绍了Laravel5中防止XSS攻击的方法,结合实例形式分析了Laravel5基于Purifier扩展包集成HTMLPurifier防止XSS攻击的相关操作技巧,需要的朋友可以参考下
ThinkPHP2.x防范XSS攻击的方法
12-19
本文实例讲述了ThinkPHP2.x防范XSS攻击的方法。...其中m的值是一个不存在的module,同时是一个完全的script,在异常错误页面中被执行实现XSS攻击。 防范方法: 找到异常错误页面模板ThinkExcepti
web 登录验证 xss csrf 域请求
王鹏亮 的专栏
01-16 4532
filter xss csrf
XSS漏洞原理和利用
热门推荐
VictorZhang
08-09 1万+
XSS漏洞原理和利用 1.XSS介绍及原理 XSS又叫CSS(Cross Site Script),脚本攻击。它指的是恶意攻击者往Web页面 里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而 达到恶意的特殊目的。 利用我们所知道的各种黑魔法,向Web页面插入JS代码,让JS代码可以被浏览器执行, 访问该页面的用户则被攻击。 XSS漏洞分类 1.反射型 非存储型...
接口安全性测试技术(6):XSS
09-01 715
什么是XSS 脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS类型 1.反射式XSS 反射型 XSS 一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当受害者点击这些专门设计的链接的时 候,恶意代码会直接在受害者主机上的浏览器执行。反射型XSS通常出现在网的搜索栏、用户登录口等地方,常用来窃取客户端 Cookies 或进行钓鱼欺骗。 存储式XSS 也叫持久型X.
黑客网攻击的主要手段
谷哥的小弟
04-11 3795
SQL注入攻击是指攻击者通过在Web应用程序中注入恶意的SQL语句,从而执行非授权的数据库查询,获取敏感数据或者实现越权操作的一种攻击方法。很多Web应用程序使用的是后台数据库来存储、调取数据,并且在不同的用户间根据不同的需求进行区分显示。但是由于一些不当的编码或者安全设置,攻击者可以将自己构造的SQL语句通过URL参数、表单提交等方式注入到应用程序中。
一个登录框怎么做渗透测试
weixin_47623655的博客
03-30 2036
在测试过程中,测试人员应该尝试输入包含特殊字符或注入代码的数据,以在进行渗透测试时,还需要对登录框进行敏感信息泄露测试。在对登录框进行漏洞扫描时,可以先手动构造一些常见的攻击载荷进行测试,例如SQL注入攻击载荷、XSS攻击载荷等,看看是否存在漏洞。测试目标确定后,需要了解目标网的架构和技术,例如服务器的操作系统和版本、Web服务器的类型和版本、数据库的类型和版本等。在进行渗透测试前,需要获取测试人员的授权,以避免触犯法律。在进行登录框的渗透测试时,需要综合使用多种方法和工具,以确保测试的全面性和准确性。
脚本攻击漏洞XSS):基础知识和防御策略
weixin_43263566的博客
01-16 8685
脚本攻击漏洞-基础篇
xss输入前对输入内容进行处理和域浏览器设置
weixin_57246351的博客
09-26 381
网络安全之XSS、CSRF、API接口攻击
lentoo的博客
05-06 2056
前言对于网开发,我们不得不面对各种网络攻击。而网络攻击的方式千姿百态,这次我们就将学习下常见的三种方式 —— XSS、CSRF、API接口攻击。XSS介绍维基百科: ...
修复XSS漏洞,我需要更详细的信息
04-11
好的,修复 XSS 漏洞需要注意以下几点: 1. 输入验证:对于用户输入的数据需要进行验证,确保数据符合预期,可以使用正则表达式或自定义函数等方式。 2. 输出过滤:对于输出到页面的数据需要进行过滤,避免恶意脚本被执行,可以使用 HTML 转义或其他过滤方式。 3. Cookie 安全:需要设置 HttpOnly 属性,防止 cookie 被 JavaScript 访问,避免被窃取。 4. CSP 配置:设置 Content-Security-Policy 响应头,限制页面加载的资源来源,避免恶意代码的注入。 5. 安全编码:对于 JavaScript 代码需要进行安全编码,避免恶意代码注入。 希望这些信息能够帮助你解决 XSS 漏洞问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值