html表单对输入数据的几种限制的绕过

最新推荐文章于 2024-04-25 16:27:05 发布
最新推荐文章于 2024-04-25 16:27:05 发布
阅读量4.4k 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012684933/article/details/20080201
版权

1.长度限制,例如:

<form method=”post” action=”Shop.aspx?prod=1”>
Product: iPhone 5 <br/>
Price: 449 <br/>
Quantity: <input type=”text” name=”quantity” maxlength=”1> <br/>
<input type=”hidden” name=”price” value=”449”>
<input type=”submit” value=”Buy”>
</form>


2. 采用javascript验证输入数据的合法性

<form method=”post” action=”Shop.aspx?prod=2” οnsubmit=”return validateForm(this)”>
Product: Samsung Multiverse <br/>
Price: 399 <br/>

Quantity: <input type=”text” name=”quantity”> (Maximum quantity is 50) 
<br/>
<input type=”submit” value=”Buy”>
</form>
<script>function validateForm(theForm)
{
    var isInteger = /^\d+$/;
    var valid = isInteger.test(quantity) &&
        quantity > 0 && quantity <= 50;
    if (!valid)
        alert(’Please enter a valid quantity’);
    return valid;
}
</script>


3. 禁用的元素

<form method=”post” action=”Shop.aspx?prod=5”>
Product: Blackberry Rude <br/>
Price: <input type=”text” disabled=”true” name=”price” value=”299”> 

<br/>

Quantity: <input type=”text” name=”quantity”> (Maximum quantity is 50) 
<br/>
<input type=”submit” value=”Buy”>
</form>


可以通过burpsuit绕过以上几种限制,修改html表单的内容进行提交。

在进行渗透测试的时候,首先找到页面都哪里存在上面的情况,然后通过使用burpsuite修改这些值,比如说如果最大长度限制是10,那么输入一个长度为11的值,发给服务器看是否能够正常响应,如果正常响应了,说明服务器没有对输入进行验证,说明这里存在漏洞。

heayin123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
html表单maxlength绕过,HTML <input> 标签的 maxlength 属性
weixin_32458131的博客
06-21 193
Tomcat使用,部署Tomcat服务器基本使用 web服务软件,也叫web服务器软件,web服务器. 基本使用 1)下载 到apache官网下载. http://www.apache.org 安装版本:window e ...cocos2dx打包apk一.相关工具准备 1.SDK 2.NDK 3.ANT 4.JDK 并且搭建好JDK环境 二.搭建环境 1.打开cocos2dx目录下的setup...
表单绕过实验
zzxl212333的博客
03-14 89
1.打开网址 2.登录账号 3.成功
使用 BurpSuite 绕过验证码实施暴力破解表单
最新发布
Flag少侠的博客
04-25 972
打开靶场,开启拦截输入错误的验证码提交查看结果发现并没有抓到包,因为它在前端就对验证码进行了验证,不正确是不会提交的只能输入正确的验证码再提交,发现抓到了包右键 Send Introder 设置参数添加字典开始攻击,成功爆破出用户名和密码。
万能钥匙(表单绕过
q1972896267的博客
03-14 165
在用户名输入“admin’ or 1=1 – ”,输入任何密码(注意“–”符号后面必须加空格否则命令无效)#打开靶场的目标站点,进入后台登陆。表单成功绕过,登陆成功!
绕过本地验证提交表单(主要是绕过JS等一些验证)
www.i201314.net
07-22 4479
比如上传或者自己定义提交的文件时,会在本地的代码中遇到阻碍,,也就是过   滤,过滤有两种,一种是在远程服务器的脚本上进行的过滤,这段代码是在服务器上运行后产生作用的,这种过   滤方式叫做远程过滤;另一种是在我们的IE浏览器里执行的脚本过滤,就是说是在我们自己的机器上运行后产   生作用的,这种过滤方式叫本地过滤.远程过滤要绕过是比较难的,但是对于仅仅只在本地过滤的程序,我们可
表单绕过实验万能密码
aliu555的博客
03-14 510
那么我们在看这条语句,就相当于只需要满足use的为空,或者是1=1和pwd等于’123‘。我们理解这条是查询数据库中表名为tb_admin中的use列,并且查询需要满足的条件是use列中为“11”而且还要pwd列为“123”的数据信息。万能密码的用户名和密码: admin or 1=1 或者1 or 1=1 or 1=1这个的原理就是利用了数据库在查询过程中的代码漏洞造成的。通常我们会使用这种方法来验证网页上用户输入的账号和密码,如果是有这条信息的则出现另一个登录成功。这是一个普通的查询语句。
完整版限制字符输入例程.e.rar
04-03
在压缩包内的"限制字符输入例程.e"文件中,可能包含了一段或多段代码示例,演示了如何在不同的编程语言(如JavaScript、C#、Java、Python等)中实现上述的某一种或几种方法。这些示例通常会包括详细的注释,解释每...
详解ASP.NET MVC Form表单验证
10-22
在ASP.NET MVC中,表单验证可以通过以下几种方式实现: 1. **数据注解**:通过在模型类的属性上添加数据注解,如`[Required]`(不能为空),`[StringLength]`(限制字符串长度)等,定义验证规则。 2. **自定义...
表单验证脚本
03-31
"表单验证脚本"指的是用于检查用户输入数据有效性的代码,确保数据符合预设的规则,例如...`Login.html`文件中可能包含了这些验证的实现,通过对HTML表单的交互和JavaScript的运用,提供了一种有效的用户输入控制机制。
struts的表单验证
08-02
表单验证是在用户提交数据前检查输入的有效性,以确保数据的完整性和安全性。在Struts框架中,表单验证通常通过两个主要方式实现:客户端验证和服务器端验证。 1. 客户端验证: 客户端验证发生在用户的浏览器上,...
经典表单验证.rar
05-31
前端验证包括但不限于以下几种常见类型: 1. **非空验证**:确保用户必须填写某些字段,例如用户名、密码等。 2. **长度验证**:限制输入字符的数量,如密码长度通常要求在6-20个字符之间。 3. **格式验证**:比如...
利用JavaScript绕过表单限制及验证
SalmonellaVaccine的专栏
10-29 6003
http://blog.csdn.net/huaerbubai7/article/details/8074429 本教程主要介绍了如何利用javascript绕过一些简单的或者更高级一点的html表单限制及cookie/session验证. 简单的表单限制 1.绕过必填表项 你会经常碰到一些页面需要你填满所有的表项才能提交,但是我们完全可能绕过这些限制.如果你仔细看一下页面
常见html中的绕过标签,技巧集合
weixin_41821465的博客
04-28 496
在学习编码绕过时由于数量多,类型相似,不太容易记得住,记得全,故做此记录。1。
【漏洞发现-xss跨站脚本攻击】事件绕过
m0_46344990的博客
05-31 549
xss跨站脚本攻击是黑客通过“html注入”篡改了网页,插入了js恶意脚本,前端渲染时进行恶意代码执行,从而控制用户浏览的一种攻击。经常出现在需要用户输入的地方,一旦对输入不进行处理,就会发生网页被篡改。分为三类反射型:经过后端,不经过数据库存储型:经过后端,经过数据库DOM型:不经过后端,是基于文档对象型的一种漏洞,dom-xss是通过url参数去控制触发的xss靶场第十关服务器采用了替换恶意关键字的方式防御,可以事件绕过。直接看源码,服务器接受了两个变量keyword和t_sort,又将t_sort变量
XSS漏洞的绕过策略
weixin_51313108的博客
08-17 877
XSS漏洞的绕过策略防绕过语句绕过js代码显示在属性内大写绕过双写关键字javascript特殊事件javascript特殊事件 防绕过语句 htmlspecialchars()语句可以将<>等敏感字符改动为html字符实体,用于变量的处理上。 绕过 首先要明白一点写入的JS代码要在浏览器上成功执行尽量要在标签之间 js代码显示在属性内 '><script>alert(1)</script>//:闭合标签 大写绕过 猜测后端如果只是简单的利用 ,str_replac
Hidden属性的input标签中XSS的触发方法
一生无悔惜缘的博客
08-18 8878
今天看到一个XSS漏洞,插入点在一个有hidden 属性的input 标签,大致情况如下: input type="hidden" name="returnurl" value="[USER INJECT]" />11 正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于该
提交表单数据有哪几种方法,php如何获取表单提交的数据
06-09
提交表单数据的主要方法有以下几种: 1. GET 方法:将表单数据附加到 URL 的末尾,并以问号 (?) 开始。 2. POST 方法:将表单数据放在 HTTP 请求的主体中发送,并且不会将其附加到 URL 中。 3. PUT 方法:将表单...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值