xss攻击场景集合

已于 2024-08-24 10:46:19 修改
阅读量83 收藏
点赞数
分类专栏: web安全 文章标签: xss 前端
于 2024-08-24 10:15:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuxiaohua/article/details/141495425
版权

meta元素导致页面重定向,产生钓鱼攻击

  • 示例
<!DOCTYPE html>
<html>
<body>
	<h1>我的第一个标题</h1>
	<!-- 恶意攻击 -->
	<meta http-equiv="refresh" content="0;url='http://www.25xt.com' "/>
</body>
</html>
  • 防护方法
    自然在用户提交的富文本中过滤掉该元素,我看在CSDN的博客中使用HTML代码时,meta标签在查看博文时被过滤掉了,所以不会触发攻击。

嵌入js代码场景

能够嵌入js代码的场景如下

  1. script标签
  2. 内联事件处理
  3. javascript:伪协议

script标签

  • 示例
<!DOCTYPE html>
<html>
<body>
	<h1>我的第一个标题</h1>
	<!-- 恶意攻击 -->
	<script> alert("hello")</script>
</body>
</html>
  • 防护方法
    提交的富文本禁用掉script元素

内联事件处理

  • 示例
<!DOCTYPE html>
<html>
<body>
	<h1>我的第一个标题</h1>
	<!--  恶意攻击  -->
	<img src="http://xxxxx" onerror="alert('hello')"></img>
</body>
</html>
  • 防护方法
    提交的富文本要禁用所有的事件处理属性

  • 示例
<!DOCTYPE html>
<html>
<body>
	<h1>我的第一个标题</h1>
	<!--  恶意攻击  -->
	<a href="javascript:alert('Hello!')">Click Me!</a>
</body>
</html>
  • 防护
    检查元素的链接属相(src、href等等),只允许http开头

未完待续

shuxiaohua
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于XSS系统攻防系统的研究
AI大模型应用之禅
06-11 617
基于XSS系统攻防系统的研究 1.背景介绍 1.1 XSS攻击的定义与危害 跨站脚本攻击(Cross Site Scripting),简称XSS,是一种常见的Web安全漏洞。攻击者利用网站未对用户提交数据进行有效过滤,在网页中注入恶意脚本
XSS攻击的介绍
最新发布
qq_60778231的博客
03-19 890
劫持(盗取)Cookie、网络钓鱼、植马挖矿、广告刷流量cookie:用于辨别用户身份,可以绕过二次验证。
后端抵御XSS攻击,使用继承HttpServletRequestWrapper,对request的内容进行转义
wuyang1115998756的博客
12-04 1343
java 转义 request请求内容 低于XSS工具(继承HttpServletRequestWrapper) 踩雷 org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error。。。。。。。。。。。。。。。。。。。。。。。
xss(跨站脚本攻击)详解
lonmar的博客
06-25 5629
xss跨站脚本攻击 读书心得,技术总结
【译文】了解XSS攻击
风的专栏
10-22 3110
本篇译文的原文是Excess XSS: A comprehensive tutorial on cross-site scripting。在前一阵解决一个XSS相关bug时读到了这篇文章并且感觉受益匪浅。加之它通俗易懂,于是决定翻译出来分享给大家。关于我遇到的那个XSS相关bug,在本篇译文的最后会有描述。翻译不好的地方还请大家多多谅解,告知我及时校正。 第一部分:概述 什么是XSS 跨站点...
前端安全攻防——XSS攻击和防御详解
weixin_34102807的博客
03-14 231
为什么80%的码农都做不了架构师?>>> ...
网站安全之—— XSS攻击
iteye_5347的博客
08-24 406
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 转自:https://github.com/astaxie/build-web-application-with-golang/blob/master/ebook/09.3.md XSS又称CSS,全称Cross SiteScript,跨站...
浅析几种常见Web攻击-DoS攻击、CSRF、XSS
天高地阔的专栏
01-16 1241
常见的Web安全问题有DoS攻击、CSRF攻击、XSS漏洞等。本文将简单介绍一下这几种常见的工具方式。 DoS攻击 DoS(Denial of Service),拒绝服务,顾名思义这种攻击是为了让服务器无法提供正常服务,最常见的DoS攻击是网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。连通...
2021-07-06-web安全之XSS攻击和Cookie知识详解(二)
公子&小白的博客
07-06 516
文章目录读写CookieJAVA读写CookieJavaScript读写CookieSessionXSS FrameworkXSS GetShellXSS 蠕虫病毒(XSS Worm)XSS漏洞XSS漏洞修复PHP方式Java方式XSS可能发生的场景HttpOnly参考文档 读写Cookie JAVA读写Cookie java提供了操作Cookie的类,下面是示例参考 参考链接:https://www.cnblogs.com/lanxiamo/p/5889285.html JavaScript读写Coo
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
xss平台源码
09-28
XSS(Cross Site Scripting)平台是一种用于安全研究和教育的工具,它允许用户模拟和测试XSS攻击XSS攻击是网络安全领域中常见的漏洞类型,通过注入恶意脚本到网页中,攻击者能够窃取用户数据、执行恶意操作或者...
总线与触控板_XSS_
09-29
"总线与触控板_XSS_"这个标题可能是指一个关于XSS攻击的项目或者研究,其中可能涉及到硬件接口(如总线)和用户输入设备(如触控板)在安全上下文中的应用。描述中提到的“Xss工具代码”暗示了这是一个包含了用于...
XSS 小助手 V1.0 -XSS一定要用到的小工具必备
05-03
XSS小助手 V1.0 是一款针对XSS漏洞测试和研究的实用工具,它集合了多种功能,帮助安全研究人员进行有效的XSS攻击模拟和防护测试。 **XSS攻击类型** 1. **存储型XSS(Persistent XSS)**:恶意脚本被存储在服务器端...
html 后台模板集合
02-23
6. **安全性**:考虑到后台模板涉及到数据管理,它们必须遵循最佳的安全实践,如防止XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等。模板应包含必要的安全特性,如验证输入、使用HTTPS等。 7. **文档支持**:提供...
Java的各种实验包括反射,算法,多线程,面试题,springboot,shiro,valid,XSS,CSRF防御
10-03
XSS允许攻击者注入恶意脚本到网页,影响用户浏览器的行为;而CSRF则利用用户的已登录状态执行非预期的操作。Java开发者需要了解如何通过过滤器、验证码、Token等手段来防御这两种攻击。 总的来说,这个实验集合覆盖...
asp.net必备源码集合
05-27
6. **安全性**:源码可能涉及身份验证、授权、加密和防止跨站脚本(XSS)和跨站请求伪造(CSRF)攻击等方面,这些都是Web开发中的关键安全措施。 7. **异常处理**:良好的错误处理是任何应用程序的重要组成部分。...
LOVE集合.rar
04-24
8. **安全性**:虽然表白网页通常是个人性质的,但也要注意用户的隐私和数据安全,比如避免SQL注入、XSS攻击等问题。 9. **版本控制**:开发过程中,使用Git进行版本控制可以帮助开发者管理代码,协同工作,并方便...
各类POC集合大全
04-26
3. **POC的类型**:POC集合可能包括多种类型的POC,如Web应用漏洞POC(如SQL注入、XSS攻击等)、操作系统漏洞POC、网络协议漏洞POC等。每种POC都是针对特定漏洞的。 4. **POC的使用场景**:在安全研究中,POC用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值