PHP安全编程:跨站脚本攻击

最新推荐文章于 2024-04-09 17:27:09 发布
最新推荐文章于 2024-04-09 17:27:09 发布
阅读量1k 收藏
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tracywxh/article/details/18257347
版权

         跨站攻击攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰,PHP应用也不例外。

所有有输入的应用都面临着风险。Webmail,论坛,留言本,甚至是Blog。事实上,大多数Web应用提供输入是出于更吸引人气的目的,但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义,跨站脚本漏洞就产生了。

以一个允许在每个页面上录入评论的应用为例,它使用了下面的表单帮助用户进行提交:

 


表单提交时候数据需要使用htmlentities()转换为HTML实体,然后入库。这样就比较安全,不然入库然后显示到前台可能存在问题,如:


1、用户提交一个表单、非法用户填写了<scription src="xxxxxxxxxxxxxxxxx.php?getCookie=xx"></scription>,这样会讲这段见JS代码添加到页面中,隐形的去获取页面中的所有cookies,这样就会有问题


备注:学PHP的可以加入singwa-php交流群:414982525  

singwa简介:

BAT界PHP资深工程师。拥有丰富的大数据、高并发处理、大型网站架构经验。曾在新浪视频负责PHP开发,CCTV6电影网项目经理,现在某大型知名互联网公司负责大数据流的开发。讲课风格激情澎湃,认真负责。


singwa3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP 跨站脚本攻击漏洞修复 v1.0
05-18
PHP 跨站脚本攻击漏洞修复插件,php防护代码,依托360的360_safe3.php文件,使用方法:1.将360_safe3.php传到要包含的文件的目录,2.在页面中加入防护,有两种做法,根据情况二选一即可:   a).在所需要防护的页面加入代码   require_once('360_safe3.php');   就可以做到页面防注入、跨站   如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!   添加require_once('360_safe3.php');来调用本代码 运行环境:PHP
PHP 安全漏洞:会话劫持、跨站本、SQL 注入以及如何修复它们
allway2的博客
08-01 1466
SQL注入是应用程序中的一个漏洞,它是由于程序员在将输入包含到数据库的查询中之前没有对其进行清理而导致的。通过这种类型的访问,攻击者可以做非常糟糕的事情。您使用的确切功能取决于您使用的数据库类型和php库,请查看php库的文档以获取有关转义用户输入的更多信息。如果您想更好地控制清理工作的方式,另一种选择是编写自己的HTML清理函数,不建议PHP初学者这样做,因为错误会使您的网站易受攻击。会话劫持是由攻击者获得对用户会话标识符的访问权并能够使用另一个用户的帐户来冒充他们而导致的漏洞。...
Thinkphp防XSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 2110
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss本代码,主要是为了获取网站cookie,然后实现匿名访问。
PHP跨站脚本攻击(XSS)防范方案
最新发布
m0_66326520的博客
04-09 1168
反射型XSS攻击是将注入的恶意本添加到一个网址中,然后给用户发送这个网址。一旦用户打开这个网址,就会执行本并导致攻击。攻击负载和本跟随用户点击链接,并被嵌入到响应中,在浏览器上执行。存储型 XSS 攻击指的是攻击者将恶意本提交到受害网站的数据库中,当其他用户浏览包含该恶意本链接的页面时,就会执行该本,从而导致攻击者的目的得以实现。由于是将恶意本保存在数据库中,所有访问包含恶意代码的页面的用户都受到攻击。而且这种攻击方式难解决。
关于防止 PHP 中的跨站本漏洞你需要知道的一切
allway2的博客
08-16 1033
HTML Purifier 没有尝试天真地搜索和替换用户输入字符串中的恶意片段,而是将整个字符串消化为 HTML 文档,将其分解为标记,并根据白名单和每个属性的 RFC 定义验证所有元素和属性。自动转义不仅使您的代码更易于阅读,而且还可以防止单个疏忽成为具有恶意负载的攻击者的入口点。“转义所有 HTML 实体”方法是安全的,并且非常适用于用户不应该提供自己的 HTML 标记的情况。在一个上下文中是安全的(例如允许使用 HTML)在其他上下文中可能是灾难性的(例如,我们处于 HTML 属性的中间)。...
利用PHP编程防范XSS跨站脚本攻击
03-04
首先,跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的,所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等,可以使用htmlentities() 。
编程语言+PHP+动态网页+安全防护
03-01
编程语言+PHP+动态网页+安全...它介绍了PHP的特点、优势、劣势和应用领域,以及如何使用PHP来开发动态网页,包括表单、文件、会话、Cookie等内容,以及如何防范常见的网络攻击,如SQL注入、跨站本、跨站请求伪造等。
基于PHP的在线跨站本检测工具.pdf
01-05
跨站脚本攻击(Cross Site Scripting,简称XSS)是网络安全领域中的常见威胁,它利用网站应用程序的安全漏洞,向用户注入恶意本,从而获取敏感信息或破坏用户体验。随着网络攻击手段的不断升级,XSS攻击变得越来越...
Xss跨站脚本攻击基础
04-11
XSS(Cross Site Scripting)攻击,即跨站脚本攻击,是一种常见的Web应用程序安全漏洞。这种攻击方式利用网页开发时的疏忽,允许攻击者将恶意本注入到网页中,当用户浏览该网页时,恶意本就会被执行,进而获取...
PHP编程函数安全
10-27
PHP编程中,确保函数的安全性至关重要,因为不安全的函数使用可能会导致一系列严重的安全问题,如SQL注入、跨站脚本攻击(XSS)、路径泄露、远程命令执行等。以下是一些关于PHP编程函数安全的重点: 1. 文件包含...
跨站编制问题解决
06-12
基于OWASP组织提供的WEB项目中跨站编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
php mysql可以跨站_修复PHP跨站脚本攻击漏洞(XSS)方法
weixin_42541463的博客
01-28 239
1、昨天360站长之家开通官网直达,安全报高突然报[高危]跨站脚本攻击漏洞,必须修复才可进行官网直达。2、神马是XSS,额我也不懂,百度如下:用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意...
php解决XSS攻击
php-yyds
12-27 1468
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的Web应用程序安全漏洞。它允许攻击者将恶意本注入到受害者的浏览器中,并在受害者访问受漏洞影响的网页时执行这些恶意本。XSS攻击通常发生在Web应用程序对用户输入的处理过程中。攻击者可以利用未经过滤或转义的用户输入,将恶意的HTML、JavaScript或其他本注入到网页中。当其他用户访问这个被攻击的页面时,将执行这些恶意本,导致安全问题。
php 跨站脚本攻击漏洞,PHP跨站脚本攻击(XSS)漏洞修复思路(二)
weixin_42300721的博客
03-10 660
上一篇文章《PHP跨站脚本攻击(XSS)漏洞修复方法(一)》写到了360修复XSS漏洞的插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。从上一篇文章看出,部署了360出的XSS修复插件之后,至少还存在iframe无法过滤缺憾,是否还有其他纰漏目前还不得而知。分析一下中国博客联盟和张戈博客已开放的数据入口:①、中国博客联盟,主要有搜索、后台博客提交等;②、张戈博客(WordP...
跨站编制
ilsld的博客
10-11 1643
项目安全检测出现 “跨站编制” 的问题,以下解决方法是网上搜索整理。 用过滤器过滤所有url 1.过滤器 @Slf4j @WebFilter(filterName = "urlFilter", urlPatterns = "/*") public class webFilter implements Filter { /** * * @param filterConfig The configuration information associated with the
跨站编制描述及解决方法
xrdlqy的专栏
02-04 2万+
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2   简介: 跨站编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
防止XSS攻击封装
weixin_30682415的博客
08-12 382
<?php if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 // ...
PHP安全编程:抵御网络攻击
此外,书中还可能涵盖了其他PHP安全议题,如SQL注入防御(使用预处理语句或参数化查询)、跨站本(XSS)防护(转义输出内容或使用Content Security Policy)、文件上传漏洞防范(验证文件类型和大小)、会话管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值