java 宽字节_宽字节XSS跨站攻击

最新推荐文章于 2023-01-18 21:00:00 发布
最新推荐文章于 2023-01-18 21:00:00 发布
阅读量752 收藏 1
点赞数
文章标签: java 宽字节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31953847/article/details/114111606
版权

简介

宽字节跨站漏洞多发生在GB系统编码。 对于GBK编码,字符是由两个字节构成,在%df遇到%5c时,由于%df的ascii大于128,所以会自动拼接%5c,吃掉反斜线。而%27 %20小于ascii(128)的字符就会保留。通常都会用反斜线来转义恶意字符串,但是如果被吃掉后,转义失败,恶意的xss代码可以继续运行。

什么是宽字节

GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节,实际为两字节。(英文字母占据一个字节,汉字占据两个字节)。宽字节带来的安全问题主要是吃ASCII字符(一字节)的现象。

宽字节SQL注入

先来复习下宽字节注入的形成原理:

防御方式:将 ' 转换为 \'

绕过方式:将 \消灭

常规编码

输入处理编码带入SQL结果

'

\'

%5c%27

id=1\'and

不能注入

GBK编码

MySQL在使用GBK编码时,会认为两个字符为一个汉字。

输入处理编码带入SQL结果

%df'

%df\'

%df%5c%27(運)

id=運' and

能注入

两个字符组合,认为是一个汉字

注:前一个ASCII码大于128才能到汉字的范围。

宽字节XSS漏洞

宽字节XSS与宽字节SQL注入的不同在于宽字节注入主要是通过

吃掉转义符再正常注入SQL语句,而宽字节XSS

最低0.47元/天 解锁文章
不乱说话
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
检测到目标url存在字节漏洞_通用型漏洞审计浅析
weixin_39844426的博客
12-08 1246
一次性付费进群,长期免费索取教程,没有付费教程。进微信群回复公众号:微信群;QQ群:460500587教程列表见微信公众号底部菜单 |本文底部有推荐书籍微信公众号:计算机与网络安全ID:Computer-network安全漏洞审计,作为扫描器的核心功能,会告诉扫描器如何去检测和审计漏洞。它可以看作扫描器的大脑,通过对每一种漏洞进行场景化学习,从中提取漏洞的扫描特征,将其存储到扫...
24、渗透测试经验分享(一)_jquerydomxss_burpsuite_AngularJsXSS_20191127
__Qian的博客
11-27 879
1、burp 有csrf功能,可以构造CSRF POC 2、jquery domxss脚本 1.11.3 jquerydomexss1.6.1 <html> <head> <title>jQuery DomXSS test</title> <script type="text/javascript" src="...
url存在字节漏洞_脚本 (XSS)
weixin_39783633的博客
11-30 389
本部分,我们将解释什么是脚本,描述各种类型的脚本漏洞的不同点,并阐明如何查找和防止脚本。什么是脚本 (XSS)脚本是一种允许攻击者破坏用户与易受攻击的应用程序之间交互的网页安全漏洞。它允许攻击者规避相同的同源策略,该策略旨在将不同的网彼此隔离。脚本漏洞通常允许攻击者伪装成受害者用户,执行用户可以执行的任何操作以及访问用户的任何数据。如果受害者用户具有在应用程序中的特权访问...
网络安全之从原理看懂XSS
Galaxy_0的博客
01-18 1462
网络安全之从原理看懂XSS
JavaXSS攻击实现(AOP+注解+反射)
dh554112075的博客
06-21 2701
本文使用JSP验证效果 引人依赖 <!-- springboot-aop --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-...
url存在字节漏洞_漏洞那些事er 反射型脚本攻击
weixin_39640543的博客
12-10 592
脚本攻击(Cross Site Scripting,缩写为XSS)本质上仍是注入攻击的一种。当实施此类攻击时,攻击者通过直接或间接的方式,向WEB应用提交包含恶意代码数据,而WEB应用未对提交数据进行合法性验证或转义处理,最终致使恶意代码在被攻击者的浏览器中执行。 脚本是所有WEB应用安全漏洞中最常见的一种,一些安全公司的统计数据显示,其数量占据了WE...
url存在字节漏洞_开发者必读篇之Web漏洞防护指南
weixin_39625468的博客
11-29 505
专注于Java领域优质技术,欢迎关注作者:想要好看的 图灵社区本文配图来自美剧《黑客军团 第3季》。web的发展史早期的互联网非常的单调,一般只有静态页面,现在,随着技术的发展,web上大多数点实际上是web应用程序,在服务器和浏览器之间进行双向的信息传递。他们支持注册登录,金融交易,搜索及用户创作的内容。用户只需要拥有一个浏览器,就能实现各种功能。Web是指一个网的前端页面到后端服务,比如我...
JAVA:URL存在漏洞,注入漏洞解决方案
yiluoAK_47的专栏
12-12 5021
脚本介绍 一 脚本 脚本(Cross-site scripting,通常简称为XSS脚本或脚本攻击)是一种网应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载
C语言中的字符与多字节字符
selfctrl的专栏
09-10 2562
    C语言原本是在英文环境中设计的,主要的字符集是7位的ASCII码,8位的byte(字节)是最常见的字符编码单位。但是国际化软件必须能够表示不同的字符,而这些字符数量庞大,无法使用一个字节编码。     C95标准化了两种表示大型字符集的方法:字符(wide character,该字符集内每个字符使用相同的位长)以及多字节字符(multibyte character,每个字符可以是一到多个
JAVA_BLOG.rar_blog_blog java
09-20
在本压缩包“JAVA_BLOG.rar_blog_blog java”中,主要涵盖了JAVA技术栈在开发博客系统过程中的核心知识点。这不仅包括了基础的J2SE(Java Standard Edition)部分,还涉及了JAVA WEB的全面内容。以下是这些领域的...
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
基于java_字节码的灰盒动态漏洞检测.pdf
09-11
这种方法尤其适用于那些传统自动化测试工具难以检测到的漏洞,如存储型脚本(XSS)、无变化的SQL注入、代码注入和文件操作相关漏洞。 传统的白盒测试(源码审计系统)可能存在误报率高的问题,而黑盒测试(Web...
11.rar_Java编程_Java_
08-12
它的设计理念是“一次编写,到处运行”,因为Java编译的字节码可以在任何支持Java虚拟机(JVM)的平台上运行。Java的特点包括平台独立性、安全性、高性能、可移植性以及丰富的类库。 在开发在线相册系统时,Java...
serve.rar_Java编程_Java_
08-11
9. **安全性**:服务器需要考虑安全问题,如防止SQL注入、XSS攻击,以及数据传输的安全性,可能需要用到HTTPS协议,或者加密技术。 10. **测试与调试**:单元测试、集成测试和压力测试是确保服务器稳定性和性能的...
字节跳动青训营抖音项目后端接口.zip
05-01
8. **安全实践**:包括防止SQL注入、XSS攻击、CSRF(请求伪造)等,学员需要了解并实施相关的安全措施,以保护系统和用户数据的安全。 9. **测试与调试**:单元测试、集成测试以及端到端测试是保证代码质量的...
linux 字符串,C语言中的多字节字符与字符
weixin_36278346的博客
04-30 281
C语言原本是在英文环境中设计的,主要的字符集是7位的ASCII码,8位的byte(字节)是最常见的字符编码单位。但是国际化软件必须能够表示不同的字符,而这些字符数量庞大,无法使用一个字节编码。C95标准化了两种表示大型字符集的方法:字符(wide character,该字符集内每个字符使用相同的位长)以及多字节字符(multibyte character,每个字符可以是一到多个字节不等,而某个字...
码元、波特、速率、带-王道计算机网络
qq_51302564的博客
05-28 2609
码元、波特、速率、带 常在计算题中考察。 码元(Symbol) 定义 码元是指用一个固定时长的信号波形(数字脉冲),代表离散数值(0,1)的基本波形。当有多个离散状态时,称为M进制码元(0,1状态就是2进制码元),改时长称为码元度。 一个码元可以携带多个比特的信息。 K进制码元的例子,对于4进制码元→码元的离散状态有4个: 代表4种高低不同的信号波形00、01、10、11而不是0,1,2,3 波特(Baud) 用来指一秒可以传输多少个码元 1baud=1码元/s1baud=1码元/s1baud=1码元/
Code128条形码如何计算其度?如何得出其校验位?
weixin_33762130的博客
10-17 2891
原文链接 Code128条形码是一个非常高密的字母数字条码,能够存储需要的编码数据,它可以编码所有128个ASCII码字符,它使用最少的空间。 在Code128符号体系中,每个数据字符编码都是由11个黑或白模块组成,这11个模块由三个条和三个空来形成,条和空可以由1-4个模块的度来组成。停止字符由13个模块组成。 code128码符号包括一个静止区(10倍X-尺寸 )、一个开始字符、编码数...
计算机网络(8)物理层:数据、信号、码元、信源、信道、信宿、速率、波特、带
李白
04-26 8863
目录 1、数据、信号 1.1、定义 1.2、传输方式 2、码元 3、信源、信道和信宿 3.1、定义 3.2、信道的分类 3.2.1、按传输形式分类 3.2.2、按传输介质分类 3.2.3、按通信双方的交互方式来看 4、速率、波特 4.1、码元传输速率 4.2、信息传输速率 5、带 物理层考虑的是怎样才能在连接各台计算机的传输媒体上传输数据的比特流。 1、数据、信号...
java xss 256k
最新发布
06-19
Java XSS 攻击JavaScript 类似,但通常发生在服务器端生成的动态内容中,由于字符编码不当、输入验证不足等原因导致。 在Java中,256KB (262,144 字节) 的限制可能指的是某些安全策略对HTML或JavaScript内容大小...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值