OWASP top 10 (2017) 学习笔记--跨站脚本(XSS)

最新推荐文章于 2024-05-17 03:54:55 发布
最新推荐文章于 2024-05-17 03:54:55 发布
阅读量197 收藏
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/ScriptKid-Lu/p/10277685.html
版权

A7:2017 跨站脚本(XSS)

漏洞描述:

当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建HTML或JavaScript 的浏览器API 更新现有的网页时,就会出现XSS 缺陷。

漏洞影响:

常见危害为窃取凭证为主。该漏洞的危害性由JavaScript代码决定,可参见相关XSS平台或BEEF工具。

检测场景:

基于不同标签的检测命令:

  1、<script>alert('1')</script>

  2、<img  src='1'  οnerrοr="alert('1')"/>

  3、<input type="text" value="x" οnmοuseοver="alert(1)"/>

  4、<iframe src = "javascript:alert(1)"> </ iframe>

  5、<a href ="javascript:alert(1)"> x </a>

预防思路:

XSS防护思路:规范输入,编码输出。

  规范输入(前台)字符过滤:黑白名单

       (后台)加强判断:验证字符合理性

  编码输出:转义

转载于:https://www.cnblogs.com/ScriptKid-Lu/p/10277685.html

weixin_30920513
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web-安全渗透全套教程20XSS.zip
05-22
【标题】"Web-安全渗透全套教程20XSS.zip"揭示了这是一份关于Web安全渗透测试的教育资料,特别关注XSS(Cross-Site Scripting,跨站脚本攻击)这一主题。XSS是一种常见的网络安全漏洞,攻击者通过注入恶意脚本到...
OWASP-TOP-10漏洞之XSS
leah126的博客
11-15 142
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(
OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)
weixin_43125873的博客
08-15 261
OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS) 文章目录OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)前言一、XSS是什么?二、如何防御总结 前言 Cross-Site Scripting (XSS) 即跨站脚本攻击,XSSOWASP Top 10 第二个最普遍的问题,在所有应用程序的大约三分之二都存在。 一、XSS是什么? 反射型 (Reflected )XSS:应用程序或 API
OWASP-TOP-10漏洞之XSS_渗透漏洞wotp10(3)
2401_84545291的博客
05-17 695
通过分析程序代码探查可控参数经过哪些变换最终导致漏洞发生的过程,以流程图的形式记录下来,最后采用自下而上的的逆推方式构建payload,流程图如下,在最末端构建payload为href=“javascript:alert(document.cookie)”,需要使用
owaspbwa靶机实践
weixin_45528771的博客
02-01 3791
upload 低安全级别 一、直接上传php木马文件 <?php @eval($_POST[joe]);?> 二、菜刀连接 上面代码joe为连接密码 安全级别 一、使用kali的burp suite软件进行代理拦截 点入proxy栏的options栏,将拦截地址改为kali的网络地址(在命令行输入ip a即可得到) 再将上传文件的浏览器的代理地址改为kali的网络地址,并...
OWASP Top 10--跨站脚本(XSS)》
ccAbner的博客
05-07 776
说明:本文章仅限于对跨站脚本漏洞的学习和了解        跨站脚本漏洞,即XSS发生在当应用程序发送给浏览器的页面包含用户提供的数据,而这些数据没有经过适当的验证或转义(Escape)或没有使用安全的JavaScript API。1、定义        跨站脚本攻击(Cross Site Scripting),缩写为XSS(为了避免与样式CSS混淆,缩写为XSS),恶意攻击者往Web页面里插入...
信息安全工程师学习笔记.rar
03-06
6. **应用安全**:这部分将介绍Web应用安全,如XSS跨站脚本攻击)、CSRF(跨站请求伪造)和SQL注入等常见攻击,以及OWASP(开放网络应用安全项目)十大安全风险。 7. **法律法规与标准规范**:学习笔记会涉及信息...
Webgoat学习笔记.zip
03-12
【WebGoat学习笔记】 WebGoat是一款由OWASP(开放网络应用安全项目)开发的在线教学平台,专门用于教授和实践网络安全的Web应用程序漏洞。它是一个故意设计有漏洞的Web应用,帮助学习者了解并熟悉各种攻击手段,...
Web安全学习笔记
11-03
Web安全主要涉及保护Web应用程序免受各种攻击,如SQL注入、跨站脚本XSS)、跨站请求伪造(CSRF)等。本学习笔记将深入探讨这些关键知识点。 一、Web基础与漏洞类型 1. Web工作原理:理解HTTP协议,它是Web通信的...
Python_Study Notes For Web Hacking Web安全学习笔记.zip
最新发布
05-24
4. Web漏洞:笔记可能详细介绍了常见的Web安全漏洞,如SQL注入、XSS跨站脚本)攻击、CSRF(跨站请求伪造)等,以及如何利用Python检测和利用这些漏洞。 5. 框架安全:对于像Django和Flask这样的Python Web框架,...
OWASP top10OWASP十大应用安全风险)之A7 跨站脚本XSS
qq_39682037的博客
03-18 2422
跨站脚本XSS跨站脚本XSS)是一个广泛存在的漏洞,会影响许多Web应用程序。XSS攻击包括将恶意的客户端脚本注入网站,并将该网站用作传播方法。 XSS背后的风险在于,它允许攻击者将内容注入网站并修改其显示方式,从而迫使受害者的浏览器在加载页面时执行攻击者提供的代码。 XSS存在于所有应用程序的三分之二。 通常,XSS漏洞要求用户通过社交工程或通过访问特定页面来触发某种类型的交互。如果...
OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险
小龙在线
03-30 6394
A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 A2:2017-失效的身份认证 通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其...
OWASP top 10漏洞原理及防御(2017版官方)
热门推荐
wwl012345的博客
08-08 1万+
文章目录一、OWASP top 10简介二、OWASP top 10详解A1:2017-注入 一、OWASP top 10简介 1.OWASP介绍 OWASP:开放式Web应用程序安全项目(Open Web Application Security Project),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有O...
OWASP WebGoat---安全测试学习笔记(八)---跨站脚本攻击
光明矢的专栏
10-24 4995
OWASP WebGoat---安全测试学习笔记(八)---跨站脚本攻击
OWASP靶机搭建
乾巽爻
05-26 1万+
owasp靶机应该是每个渗透入门乃至一些高手的一个试炼地之一,以下是我在靶机上搭建虚拟的方法。 1.虚拟机安装 在这里我用的是VMware14,靶机自然也是VM的。 软件安装基本也是没有什么可讲的,安装过程电脑重启为正常程序。 下载链接【0ey4 】 这个软件的链接已失效,各大平台都有注册码,直接下载官网软件然后注册即可。 2.owasp靶机下载 下载链接 以上的是一个下载平台的...
XSS漏洞利用 + owasp练习
bin789456的博客
10-25 558
写在前面 靶场链接:https://github.com/do0dl3/xss-labs
owaspbwa tickets
weixin_33728268的博客
02-17 941
  owaspbwa tickets   来源  https://sourceforge.net/p/owaspbwa/tickets/   192 SQL Injection in pic_id parameter Peruggia High 191 1 AWStats Medium 190 GetBoo reflected XSS in http:/​/​owaspbwa/​getboo/...
OWASP Top 10 2017:最严重的Web安全风险
3. A3:跨站脚本(Cross-Site Scripting, XSSXSS攻击允许攻击者在受害者的浏览器上执行恶意脚本,从而可以窃取敏感信息、进行钓鱼攻击或者操纵用户界面。 4. A4:XML外部实体(XML External Entity, XXE) 当XML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值