【安全性测试】一个简单地绕前端暴XSS漏洞

最新推荐文章于 2020-05-06 13:10:20 发布
最新推荐文章于 2020-05-06 13:10:20 发布
阅读量88 收藏
点赞数
文章标签: 前端 ViewUI
原文链接:http://www.cnblogs.com/mumushizhige/p/8945355.html
版权

      在appscan暴出一个关于跨站点脚本编制的漏洞,但是appscan并不能完整地显示该漏洞。于是,工具是否出现误报,需要通过自己手工验证。

  

  然后,我们需要找到目标参数的包并分析是从哪个步骤提交给服务器的。使用burp手动抓包。

由于当时没有设置好中文编码,导致显示乱码。当时并不影响我们的测试。我们先提交一下,因为我们不需要这个数据包。(注:你们也可以试试往这里加入跨站点的代码,不过没效果的)

 

 

(注:不要感到意外,亲测功能是没有问题的,只是截断过程中有些数据包还没有交互而已)接着,我要在选择市

我需要的就是在下图进行修改

接着我们将一段xss代码放置在目标参数下

接着,我们只要一直提交就行了

下图就是报错的信息

 

 

转载于:https://www.cnblogs.com/mumushizhige/p/8945355.html

weixin_30633405
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一种软硬件结合的大数据访存踪迹收集分析工具集
weixin_45585364的博客
09-02 711
一种软硬件结合的大数据访存踪迹收集分析工具集李作骏1,2,潘海洋1,2,陈明宇1,2,包云岗1,21中国科学院大学,北京 1000492中国科学院计算技术研究所...
【阿里聚安全·安全周刊】 全美警局已普遍拥有破解 iPhone 的能力 | 女黑客破解任天堂Switch,称硬件漏洞无法修复...
weixin_34008933的博客
04-13 119
本周的七个关键词: 破解 iPhone丨 女黑客破解任天堂丨假的身份证 丨 扫黄打非丨华盛顿特区发现手机间谍设备 丨 Telegram被俄罗斯监管机构告上法庭丨价值5万美金的Firefox浏览器漏洞      -1-   【iOS】 全美警局已普遍拥有破解 iPhone 的能力 来源:MacX ----------------------------------------------------...
大数据分析将成为应对勒索病毒的第一道防线
weixin_34252686的博客
07-04 133
人们很少阻止和思考恶意软件的演变。人们应该这样做,因为随着时间的推移,它将变得越来越复杂。 ElkCloner是第一个已知被广泛传播的计算机病毒。它由Richard Skrenta在35年前创建。这种病毒或多或少是一个恶作剧,虽然这对于在软盘上意外感染了这个病毒的人来说肯定是一种痛苦。 如今的恶意软件可不是一个恶作剧。它可以削弱整个计算机系统,并销毁大量...
【最大降40%】CPU漏洞补丁对机器学习和深度学习性能影响实测
yunqishequ1的博客
01-09 309
、 上周爆出的英特尔CPU漏洞门受到很大关注,Linux内核针对Meltdown漏洞出了PIT补丁,但据报告该补丁对性能影响很大。那么它对机器学习任务的影响如何呢?本文作者对神经网络(TensorFlow&Keras)、Scikit-learn、XGBoost等进行了使用和不使用PTI补丁时的性能比较,发现该补丁对性能的影响非常依赖于任务——有些任务不受影响,有些任务的性能下降了40%。
大数据》第1期“论坛”——对大数据国家战略的几点考虑
weixin_45585364的博客
06-19 389
大数据国家战略的几点考虑魏 凯中国信息通信研究院 北京 100191摘要:大数据是国家发展的重要资源。对大数据资源的掌控与分析能力将成为未来国家竞争力的基础。我...
前端安全系列:如何防止XSS攻击?
01-27
前端安全领域,XSS(Cross-site scripting)攻击是最常见且危险的一种,它允许攻击者在用户浏览器上执行恶意脚本。XSS攻击通常通过注入恶意代码到网页中,利用了浏览器信任并执行来自服务器的任何HTML和JavaScript...
Breach:负责任地用于识别 XSS 漏洞的网络安全工具
08-03
描述中提到的“违反”可能是“Breach”的英文直译,强调了这款工具的特性,即挑战现有的安全边界,但又以一种控制在可接受范围内的方式来测试前端 Web 应用程序的安全性XSS 漏洞通常出现在前端代码中,允许攻击者...
Web安全测试中常见逻辑漏洞解析
06-23
相比于常见的SQL注入和XSS跨站脚本等漏洞,逻辑漏洞的危害可能更大,因为它们允许攻击者绕过常规的安全防护,直接利用业务流程的缺陷来窃取信息、篡改数据甚至破坏系统。以下是几种常见的逻辑漏洞类型及其预防策略:...
[HACK学习呀] - 2019-12-08 漏洞挖掘 - 一处图片引用功能导致的XSS1
最新发布
08-03
本文主要探讨了一种通过图片引用功能引发的XSS(跨站脚本攻击)漏洞,该漏洞出现在网站的评论或编辑器功能中。...对于读者来说,这是一个很好的学习案例,展示了如何通过细致的分析和创新思维来发现并利用安全漏洞
Web-安全渗透全套教程XSS跨.zip
05-22
Web安全渗透是网络安全领域的重要部分,特别是针对Web应用程序的安全测试和防护。XSS(Cross-Site Scripting,跨站脚本攻击)是其中一种常见的安全漏洞,它允许攻击者通过在网页上注入恶意脚本,进而对用户浏览器...
Docker再曝安全漏洞,这次是PWD的问题
啊啊啊啊2
09-24 188
近日,网络安全公司CyberArk的研究人员发现了一种破解流行Play-with-Docker(PWD)站点的方法,可绕过容器隔离边界限制,直接获取用户文件。不过,该错误配置目前已被修复。近年来,容器已成为应用程序部署越来越流行的方法,为运行和管理本地和云工作负载提供了一种灵活的工作方式。近日,安全公司Cyber Ark称发现Play-with-Docker存在安全风险,攻击者可轻松访问主机系统资...
数据信息时代,怎么才能保障我们的大数据安全?
04-15 1263
当前,大数据已经成为计算机领域新的热点话题,也成为IT行业最为关注的热门技术之一。如何对大数据进行有效的管理;如何保障大数据的自身安全;如何利用现有的技术分析手段对潜在的大数据安全威胁进行及时有效的预警和处理;如何通过实时的监控分析,发现大数据系统内部的潜在安全威胁,已经成为大数据系统所有者和管理者最为关心的问题。 1.数据加密 大数据本身承载了很多有价值的数据信息,加强核心机密数据的加密防护仍然...
二十一世纪14大数据泄露事件
weixin_33958366的博客
07-04 1057
安全从业者从专业角度出发票选出14起最严重数据安全事件 数据安全事故每天都在上演,统计数据分分秒秒在增加记录条目。但是,重大数据泄露和小型数据安全事故之间的差别在哪里呢?请看下列本世纪最重大数据泄露清单,你会发现其中关键。 该清单未必基于被泄记录数量,而是根据数据泄露事件对公司、保险公司、用户或账户持有者造成的破坏或风险定出的。某些案例中,口令和...
大数据产业面临三大难题 导致安全漏洞难补
06-25 224
大数据隐私的保护难度较其他安全问题更为突出,不仅需要从技术、产业与管理维度来进行多方保障,还需要从人才、法规等方面给予支持。”中国工程院院士、中国互联网协会理事长邬贺铨日前在一个论坛上提出,在大数据给人们带来便捷生活的同时,如何保护用户隐私,日益成为大数据发展的重大挑战。 “大数据时代”隐...
陶瓷龙头要做“大数据” 豪言五年破百亿
cigang4063的博客
02-10 168
在东鹏负债1.4亿时开始“二次创业”,何新明全面接管东鹏,让这家曾经不起眼的乡镇企业一跃成为目前国内建陶行业一线的龙头企业。在国内建陶行业一直有着上市难、上市后更难的魔咒之下,一直希望中国陶瓷赢得世界尊重的何新明,逆势而上,十年磨一剑,在2013年底推动东鹏控股成功登陆香港主板,打破国内陶瓷企...
别低估了大数据时代的风险
cigang4063的博客
01-21 137
有人把大数据形容为未来世界的石油,有人宣称掌握大数据的人可以像上帝一样俯瞰整个世界,美国政府甚至已经把对大数据的研究上升为国家战略。 当我们的一切行为与生活都可以“数据化”的时候,掌握这些数据的公司便像是拥有了一座蕴藏丰富的金矿山。正如维克托•迈尔-舍恩伯格所说,大...
Hadoop大数据系统的七大危险信号
weixin_33709609的博客
08-01 80
大多数企业大数据应用案例尚处于实验和试点阶段,对于少数首次在生产环境部署Hadoop系统的用户来说,最常遇到的就是扩展问题,此类问题往往导致企业因噎废食,终止大数据应用项目。 部署和扩展Hadoop系统是一件高度复杂的事情,如果用户能提前对Hadoop扩展可能会遇到的各种问题和危险信号有所了解,就能避免很多“救火”场面。 以下是Hadoop大数据系统出...
“无解漏洞”!?FPGA芯片被爆出“无解漏洞”,基站、数据中心已广泛应用!
Tianqi_Wukong的博客
05-06 348
FPGA是现场可编程门阵列的英文简称,是一种灵活可编程的计算机芯片,由于它所具有的硬件可编程特性以及并行计算架构,极具灵活性和性能优势,广泛应用在通信基站以及数据中心等高性能计算应用领域。 最近FPGA芯片却被爆出一种严重漏洞,一旦被攻击,无法通过软件升级修复,只能更换芯片,堪称“无解漏洞”。 据报道,今年4月,在一项联合研究项目中,来自德国的科学家发现FPGA芯片中隐藏着一个严重漏洞——Star...
runC爆严重安全漏洞,主机可被攻击!使用容器的快打补丁
测试0901-1
04-26 167
容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统。\n2月11日,安全研究员Adam Iwaniuk和BorysPopławski发现了容器运行时runC的一个安全漏洞,这个漏洞可以让上述情况发生。Aleksa Sarai,SUSE的容器高级软件工程师同时也是Runc的维护者,纰漏了这个漏洞(CVE-2019-5736)。\n漏...
Web前端安全:XSS与CSRF深度剖析
学习XSS的第一步是理解如何触发一个简单的弹窗,但这只是测试漏洞存在的基础,实际攻击中需要深入理解cookie的机制和如何利用它。 2. CSRF利用: CSRF攻击利用了用户的已登录状态,使得攻击者可以在不知情的情况下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值