XSS(cross-site scripting,跨站脚本攻击)简单示例

最新推荐文章于 2024-05-10 21:21:40 发布
最新推荐文章于 2024-05-10 21:21:40 发布
阅读量2.7k 收藏
点赞数 1
分类专栏: php 文章标签: 跨站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010205879/article/details/46848133
版权

什么是XSS

XSS(cross-site scripting),跨站脚本攻击,是Web安全中很重要的一个议题。
这篇文章演示了如何利用脚本注入来攻击一个网站,以及如何抵御这种注入攻击。

网站源代码

<?php
$xss = isset($_POST['xss']) ? $_POST['xss'] : '';
if ($xss) {
    file_put_contents('post.data',$xss);
    echo "Saved!";
    exit;
}
?>
<html>
<head>

</head>
<body>
<h2>Your input</h2>
<?php
$xss = file_get_contents('post.data');
?>
<p><?=$xss?></p>
</body>
</html>

注入可执行脚本

用POSTMAN将数据POST到网站,xss的值如下:

hello</p><script type="text/javascript">alert("abc")</script><p>

可以看到,xss的值包含了一段javascript代码

访问网站

你会发现网站上弹出了alert对话框。

如何抵御

对html特殊字符进行转义,php为我们提供了方法htmlspecialchars()。

<?php
$xss = isset($_POST['xss']) ? $_POST['xss'] : '';
$xss = htmlspecialchars($xss);
if ($xss) {
    file_put_contents('post.data',$xss);
    echo "Saved!";
    exit;
}
?>

重新提交数据

访问网站,刚才的输入原封不动的显示在网页上了,Good job!

meng-xiang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS 跨站脚本漏洞总结(知识点+实例)
qq_58000413的博客
09-25 550
XSS,全称Cross Site Scripting,即跨站脚本攻击,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据攻击代码的工作方式,XSS可以分为反射型的XSS、存储型的XSS和DOM型的XSS
信息安全 SEED Lab8 Cross-Site Scripting (XSS) Attack Lab
crazyliu的博客
06-12 3743
这个实验主要是利用CSRF攻击来完成一些恶意的操作。由于整个实验过程要用到网站,这里先配置一下。 网站都部署在本地,且用域名访问,所以我们需要现在 /etc/hosts文件中设置域名到 IP 的映射关系。内容如下: 127.0.0.1 www.xsslabelgg.com 网站使用Apache作为服务器,在/etc/apache2/sites-available/000-default.conf配置一下网站主目录,内容如下: <VirtualHost *:80> .
2024年XSStrike工具的安装及使用(包括实战应用),2024年最新干货分享
最新发布
2401_84302655的博客
05-10 945
FCKeditor 2.6.7 及之前版本的 editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php 的 print_textinputs_var 函数中存在跨站脚本 (XSS) 漏洞,远程攻击者可利用该漏洞通过 textinputs 数组参数注入任意 Web 脚本或 HTML。spellchecker.php文件一般位于FCKeditor的安装目录下,具体位置可能因不同的安装方式和版本而有所不同。
跨站脚本攻击与防御
abc123098098的博客
11-21 169
网络上曾经有过关于跨站脚本攻击与防御的文章,但是随着攻击技术的进步,以前的关于跨站脚本攻击的看法与理论已经不能满足现在的攻击与防御的需要了,而且由于这种对于跨站脚本认识上的混乱,导致现在很多的程序包括现在的动网都存在着跨站脚本过滤不严的问题,希望本文能给写程序的与研究程序的带来一点思路。 还是首先看看跨站脚本漏洞的成因,所谓跨站脚本漏洞其实就是Html的注入问题,恶意用户的输入...
跨站脚本攻击 xss_跨站脚本攻击XSS
culi3118的博客
08-11 823
跨站脚本攻击 xssA cross-site scripting attack is one of the top 5 security attacks carried out on a daily basis across the Internet, and your PHP scripts may not be immune. 跨站点脚本攻击是每天在Internet上进行的前五项安全攻击之一...
web安全学习笔记(七) XSS(Cross-site scripting跨站脚本漏洞
qycc3391的博客
03-03 3557
1.XSS原理解析 HTML中,有着<script></script>标签,用于定义客户端脚本。在<script>与</script>之间输入代码,即可实现一些特殊效果。 例如,新建两个文件,xxstest.html 和 PrintSrc.php两个文件: <form action = "PrintStr.php" method="post"&...
源代码-修补跨站脚本攻击漏洞.zip
04-23
跨站脚本(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,它发生在Web应用程序中,允许攻击者在用户浏览器上注入恶意脚本。这些脚本可以在不知情的用户上下文中执行,可能导致敏感信息泄露、用户会话...
18.XSS跨站脚本攻击原理及代码攻防演示(一)1
08-03
XSS(Cross-Site Scripting跨站脚本攻击是一种常见的网络安全问题,它发生在攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而盗取用户数据或者控制用户浏览器的行为。XSS攻击主要分为...
ASP实例开发源码-修补跨站脚本攻击漏洞 asp版.zip
11-16
这个压缩包“ASP实例开发源码-修补跨站脚本攻击漏洞 asp版.zip”显然包含了针对ASP应用程序中跨站脚本(Cross-Site Scripting,简称XSS)漏洞的修复代码示例跨站脚本攻击是网络安全领域常见的攻击手段之一,攻击...
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,它允许攻击者通过在网页上插入恶意脚本,从而在用户的浏览器上执行代码。这些脚本可以窃取用户的数据,包括登录凭证、个人信息,甚至操纵...
基于PHP的修补跨站脚本攻击漏洞 php版.zip
08-29
跨站脚本攻击(Cross-Site Scripting,简称XSS)是网络安全领域常见的攻击手段之一,主要针对使用了不安全的动态内容生成的Web应用程序。PHP作为一种广泛使用的服务器端脚本语言,在处理用户输入时如果不慎,就可能...
跨站脚本攻击XSS(Cross Site Script)的原理与常见场景分析
10-18
XSS指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。这篇文章主要给大家介绍了关于跨站脚本攻击XSS(Cross Site Script)的原理与常见场景的相关资料,需要的朋友可以参考下。
Cross-Site Scripting (XSS)
chengyongyou6502的博客
07-21 814
Cross-Site Scripting (XSS) What Is XSS? Cross-site scripting(XSS) is a type of web application vulnerabilitythat enables the attac...
XSS跨站脚本攻击
weixin_68057794的博客
08-08 871
XSS全称(Cross Site Scripting跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。从上面中的一段话,可以得知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。...
XSS(Cross-site Script,跨站脚本)漏洞笔记
qq_32812063的博客
11-22 1568
xss笔记
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
Cross-Site Scripting: Persistent XSS 漏洞修复笔记
dazhong2012的专栏
03-14 1万+
最近,项目工程进行 代码安全扫描 的过程中产生了一个 XSS 相关的bug,在此记录解决办法,和大家分享。 一.问题描述 漏洞扫描过程中报下面缺陷信息,大致意思是说 由于页面在接收参数的过程中,没有进行参数的校验,可能存在 参数中存在可执行代码的漏洞。 Cross-Site Scripting: Persistent Critical Package: /WEB-INF/views/xx xx-w...
Fortify漏洞之Cross-Site ScriptingXSS 跨站脚本攻击
arkqyo2595的博客
05-07 1639
  书接上文,继续对Fortify漏洞进行总结,本篇主要针对XSS跨站脚步攻击漏洞进行总结,如下: 1、Cross-Site ScriptingXSS 跨站脚本攻击) 1.1、产生原因: 1. 数据通过一个不可信赖的数据源进入 Web 应用程序。对于 Reflected XSS(反射型),不可信赖的源通常为 Web 请求,只影响攻击到当前操作用户;而对于 Persisted(也称...
xss跨站脚本攻击-运维安全详细笔记
06-30
XSS(Cross-site scripting跨站脚本攻击是一种常见的网络安全威胁,它利用了Web应用程序未能充分验证和过滤用户输入的情况。攻击者通过在网页上注入恶意脚本,使得其他用户在浏览含有这些脚本的页面时,会执行攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值