XSS测试环境(Flask实现)

最新推荐文章于 2023-07-04 02:34:53 发布
最新推荐文章于 2023-07-04 02:34:53 发布
阅读量316 收藏 1
点赞数
文章标签: python
原文链接:http://www.cnblogs.com/devlige/p/8433405.html
版权

文档结构:

XSS.html

 1 from flask import Flask,render_template,request
 2 from flask_wtf import FlaskForm
 3 from wtforms import StringField,SubmitField
 4 app=Flask(__name__)
 5 app.config['SECRET_KEY'] = 'hard to guess string'
 6 class InputForm(FlaskForm):
 7     string=StringField()
 8     sub=SubmitField('submit')
 9     
10 @app.route('/',methods=['GET', 'POST'])    
11 def fontPage():
12     info=InputForm()
13     if request.method=='POST':
14         string=request.form['string']
15         return render_template('show.html',string=string)
16     return render_template('form.html',info=info)
17 
18 if __name__=='__main__':
19     app.run()

form.html

 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <meta name="viewport" content="width=device-width, initial-scale=1.0">
 6     <meta http-equiv="X-UA-Compatible" content="ie=edge">
 7     <title>Document</title>
 8 </head>
 9 <body>
10     <form method="POST">
11         {{info.string()}}
12         {{info.sub()}}
13     </form>
14 </body>
15 </html>

show.html

 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <meta name="viewport" content="width=device-width, initial-scale=1.0">
 6     <meta http-equiv="X-UA-Compatible" content="ie=edge">
 7     <title>Document</title>
 8 </head>
 9 <body>
10     what you input is:
11     {{string|safe}}  <!--注意这里"|safe"关闭jinja2自动转义功能-->
12 </body>
13 </html>

测试:

1.运行:

 

2.输入测试脚本:

3.提交触发漏洞:

 

一个简单的Python实现的XSS漏洞环境就完成了!

 

转载于:https://www.cnblogs.com/devlige/p/8433405.html

weixin_33815613
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flask-sql-xss-injection-check:Flask扩展名,用于检查传入请求上SQL和XSS注入
04-05
Flask-SQL-XSS-注入检查 Flask扩展,用于支持对传入请求SQL和XSS注入检查。 对于SQL或XSS注入检查为肯定的请求,这将返回400错误的请求响应 安装 使用pip或easy_install安装扩展。 $ pip install -U flask-sql-xss-injection-check 用法 该软件包公开了Flask扩展,该扩展检查所有传入请求SQL和XSS注入攻击。 from flask import Flask from flask_sql_xss_injection_check import SQLXSSCHECK app = Flask ( __name__ ) SQLXSSCHECK ( app ) @ app . route ( "/" ) def helloWorld (): return "Hello, safe world!
XSS测试
jeskon的博客
07-23 208
得到的
XSS测试平台.zip
08-06
XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台
网络安全测试中的跨站点脚本攻击(XSS):PythonFlaskSecurity实现跨站脚本攻击测试
最新发布
程序员光剑
07-04 4058
作者:禅与计算机程序设计艺术 《33. 网络安全测试中的跨站点脚本攻击(XSS):PythonFlask-Security实现跨站脚本攻击测试》 引言
XSS基础环境及实验演示教程(适合新手)
流浪法师的博客
05-24 1373
花了一点时间,做了一个“XSS基础环境及实验演示教程”,当然教程很简单,适合刚接触和安全行业的小伙伴去认识了解XSS漏洞,并且上手实操。
xsser_platform:《 Web安全攻防:渗透测试实战指南》 XSS测试平台原始码
03-23
"XSS测试平台原始码"强调了这是一套用于教学和实践的工具,通过查看和运行源代码,读者可以学习如何检测、防范和应对XSS攻击。 【标签】 “系统开源”标签表示xsser_platform是一个开放源代码的项目。这意味着它的...
精选_毕业设计_基于Python Flask框架和Mysql实现的二手物品交易平台_完整源码
03-05
9. **测试与部署**:使用单元测试确保代码质量,如Flask-Testing库。部署时,可能涉及到Gunicorn或uWSGI服务器,以及Nginx反向代理。 通过这个项目,开发者可以深入理解Web开发的全貌,从数据库设计到前后端交互,...
FlaskAuthentication:使用Flask登录及其他功能实现身份验证
05-06
在本项目中,我们主要关注的是使用Flask框架实现用户认证系统,特别是涉及登录功能。Flask是一个轻量级的Python Web服务器网关接口(WSGI)Web应用框架,它允许开发者用少量代码构建复杂的应用。在这个...
基于PythonFlask框架实现的寻宝通关.zip
06-20
《基于PythonFlask框架实现的寻宝通关》是一份结合了编程技术与趣味游戏的课程设计,旨在通过实际操作让学习者深入理解PythonFlask框架及其在Web开发中的应用。下面将详细阐述该课程设计的核心知识点。 一、...
G组-基于Flask框架的艺术创作平台-测试需求规格说明书V1.0.1.2005151
08-08
《基于Flask框架的艺术创作平台测试需求规格说明书》是一份详细描述了针对使用Flask框架构建的艺术创作平台的测试规范的文档。这份文档由马广洲、张祥国、潘安佶、牟秋宇、王康明、刘佳恒、常佳辉等人共同编写,并在...
python 网络安全_【网络安全】Python Flask XSS 防范
weixin_39601194的博客
12-09 504
0x01前言学习Django没多久,我发现微服务用Flask写非常简便~~在此之前,我并没有对 Flask 的安全问题有太多想法。直到有一天,我尝试对部署在公司的 Flask 网站进行渗透测试,我发现,它没那么安全。网站是我写的~哈!0x02构造攻击数据我尝试在外网进行了一次恶意请求,发现防火墙能够成功识别并拦截它。实际上这是在我意料之中,这么直白的攻击手段如果不能拦截说明防火墙该...
pythonflask解决xss攻击漏洞
石磊
12-22 4801
版权声明:可以任意转载,转载时请标明文章原始出处-xjtushilei和作者信息:石磊 xss漏洞解决跨站脚本攻击的原理XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。跨站脚本攻击的危害:窃取c
python网站攻击脚本_pythonflask解决xss攻击漏洞
weixin_39840606的博客
11-26 359
xss漏洞解决跨站脚本攻击的原理XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 …XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防...
Flask09 原始输出、转义、XSS攻击、过滤器???
weixin_30396699的博客
09-26 206
1 怎么在jinja模板中原始输出模板语法   1.1 用双引号引起来后放到 {{ }} 中     例如         {{ "{{}}" }}     输出          1.2 利用raw     例如    {% raw %} {% for i in range(11) %} <li>{{ i }...
pythonxss注入
吴景慈跑得快的博客
03-14 5642
什么是xss注入攻击 可以查看这篇文章 其实主要就是转换特定的字符,在某些接口前转换出来或者在前端做处理转换出来,这篇文章只是后端的转换和恢复 转换 quote表示是否要转换引号 &gt;&gt;&gt; import cgi &gt;&gt;&gt; cgi.escape('&lt;script&gt;&amp;"', quote=True) '&amp;lt;script&amp...
flask的安全注意事项,如何防范XSS、CSRF、JSON安全
weixin_30247159的博客
10-19 300
参考官方文档:http://docs.jinkan.org/docs/flask/security.html 1、xss Flask 配置 Jinja2 自动转义所有值,除非显式地指明不转义。这就排除了模板导致的所有 XSS 问题,但是你仍需要在其它的地方小心: 生成 HTML 而不使用 Jinja2 在用户提交的数据上调用了Markup 发送上传的 HTML 文件,永...
flask-ssti,xss的防止
weixin_30498921的博客
01-14 350
源码 import uuid from flask import Flask, request, make_response, session,render_template, url_for, redirect, render_template_string app=Flask(__name__) app.config['SECRET_KEY']=str(uuid.uuid4()) #fla...
Flask的奥秘二
qq_41888962的博客
06-15 186
一、flask中的session 首先我们了解一下session和cookie session被用于记录用户的状态,它是运行在服务器端的,根据session id来获取用户的状态 cookie用于记录用户信息的,运行在客户端,与session有一定的关系,session id就是从cookie中获取的,如果用户禁止使用cookie,那么session也会无法使用,除非是手动传递session id 在flask中,session的本质是一个字典 flask中如何使用session来记录用户的数据呢?
Flask(python web框架)安全
热门推荐
Love&Share
03-04 1万+
Flask 作为一个 WEB 框架来说内部封装的安全性的措施很多,基本解决了常见的 web 漏洞,下面介绍 Flask 是如何来避免产生 常见的 web 漏洞。 SQL注入: Flask 使用 ORM 对象关系映射的数据库管理方式,同时 Flask 框架内部也封装了许多安全性的函数,对于 SQL 注入拥有一定防护力,如图 Flask 中单引号会自动进行转义 XSSFlask 使用 Jinja2 模板引擎,Jinja 会默认将渲染变量进行 HTML 实体转义 @user_bp.route('/test2
Flask Web开发:Miguel Grinberg经典指南
7. **测试与部署**:了解如何编写单元测试,使用测试客户端测试Flask应用,以及如何将应用部署到生产环境,如Wsgi服务器(如Gunicorn)和Nginx反向代理。 8. **扩展与插件**:Flask拥有丰富的生态系统,书中会介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值