孔夫子旧书网搜索XSS漏洞一枚

最新推荐文章于 2024-06-25 10:08:51 发布
最新推荐文章于 2024-06-25 10:08:51 发布
阅读量122 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/472659
版权

    XSS不熟,目前只是会简单的,而且是看了群里某个人演示sina爱问的时候,受到启发发现漏洞的,已通知网站管理员修复了。

    网址:http://www.kongfz.com/

    wKioL1QJU6rRkKbTAAIXROBne7A640.jpg

发现在搜索以后,会在title里出现搜索的内容,而且html没有过滤,所以直接输入

"><script>alert(document.cookie)</script>点搜索则可以

wKioL1QJVE7TttYIAAcYmwiMrXk972.jpg

    很多人都觉得XSS无所谓,但是获取了管理员cookie以后,则可以为所欲为了。。其他xss的方式还不知道,希望能一起交流。

    漏洞发乌云了,审核没通过,理由居然是

wKioL1QJVKnRY7A6AAEqkzGGLqo484.jpg

     网站被攻击,往往总是觉得无所谓,觉得问题太小不注意造成,现在对乌云越来越失望了。提交的漏洞里,小网站的漏洞不管再怎么严重,也不会通过的(百度权重2-3的)










本文转自 3147972 51CTO博客,原文链接:http://blog.51cto.com/a3147972/1549218,如需转载请自行联系原作者
weixin_34234721
关注
JAVA WEB之XSS漏洞详解及防御措施
洛阳泰山的博客
09-06 2171
pom文件依赖 <!--jsoup--> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 工具类代码
python动态爬取,孔夫子旧书
memoirs_pz的博客
11-18 2315
python爬取孔夫子旧书的店铺评论 python2.7.15 这次爬取的是动态页,所谓动态页就是动态页是指页文件里包含了程序代码,通过后台数据库与Web服务器的信息交互,由后台数据库提供实时数据更新和数据查询服务。它的数据不会直接出现在页的源码里,它是通过js、xhr等文件动态加载的,比如一些页里的商品信息,用户评论。 这次爬取的孔夫子旧书的店铺评论就是存放在js文件里的,想要爬...
XSS漏洞
zhoutong2323的博客
04-19 2227
XSS漏洞(Cross-Site Scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者在受害者的浏览器中注入恶意脚本。当受害者访问包含恶意脚本的页时,攻击者就可以利用该漏洞来执行任意的代码,例如窃取用户的敏感信息、修改页内容或进行其他恶意活动。
XSS漏洞详解
m0_60571990的博客
11-27 4378
XSS漏洞详解
XSS漏洞原理和利用
热门推荐
VictorZhang
08-09 1万+
XSS漏洞原理和利用 1.XSS介绍及原理 XSS又叫CSS(Cross Site Script),跨站脚本攻击。它指的是恶意攻击者往Web页面 里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而 达到恶意的特殊目的。 利用我们所知道的各种黑魔法,向Web页面插入JS代码,让JS代码可以被浏览器执行, 访问该页面的用户则被攻击。 XSS漏洞分类 1.反射型 非存储型...
Web的基本漏洞--XSS漏洞
尽欢
05-31 3977
XSS漏洞介绍、XSS漏洞的攻击方式--注入脚本代码
XSS 安全漏洞介绍及修复方案
墨鸦的博客
06-25 7722
XSS 安全漏洞介绍及修复方案
反射型XSS漏洞
fencecat的博客
12-31 9426
实验项目 反射型XSS实验 综合性实验 2020年10月 22日 一、实验综述 1.实验目的及要求 (1)什么是XSS XSS,全称跨站脚本,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 (2)XSS分成两类: 一类是来自内部的,主要指的是利用程序自身的漏洞,构造跨站语句。 另一类则是来自外部的***,主要指的自己构造XSS跨站漏洞页或者寻找非目标机以外的有跨站漏洞页。 如当我们要一个站点,我们自己构造一个有跨站漏洞页...
XSS漏洞利用
2302_79885863的博客
04-01 2337
输出编码主要有URL、HTML、JS可以采用白名单验证或者黑名单验证方法。白名单验证:对用户提交的数据进行格查,只接受指定长度范围内、采用适当格式和预期字符的输入,其余一律过滤黑名单验证:对包含XSS代码特征的内容进行过滤,如"“、“script”、”#"等·对所有输出字符进行HTML编码‘’ 转成& gt;‘&’ 转成& amp;" 转成& quot;’ 转成& #39;
DedeCMS 存储型xss漏洞1
08-03
要利用此漏洞,攻击者需要能够访问并操作DedeCMS后台的“系统”->“支付工具”->“配送方式设置”,在那里他们可以添加一个新的配送方式,将XSS payload 输入到“简要说明”字段中。一旦数据保存到数据库,payload ...
JSP使用过滤器防止Xss漏洞
10-17
在Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态页技术,同样需要关注XSS...
基于络爬虫与页面代码行为的XSS漏洞动态检测方法
01-19
XSS漏洞是攻击Web应用程序...针对这种情况,对AJAX技术下XSS漏洞的特点进行了分析,提出了一种基于络爬虫与页面代码行为的动态检测方法。实验结果表明,提出的方法在节省人力、时间成本与漏洞检测方面有较好的表现。
汽车车轮钢圈加工机_三维3D设计图纸.zip
10-05
汽车车轮钢圈加工机_三维3D设计图纸.zip
问题汇总_C语言、数据结构.docx
最新发布
10-05
问题汇总_C语言、数据结构.docx
河北中医药大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-05
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
基于Java语言的CP-RPC框架设计源码
10-05
该项目为基于Java语言的CP-RPC框架设计源码,总计包含202个文件,其中Java源文件71个,XML配置文件46个,Java类文件38个,属性文件7个,Kotlin模块定义4个,Idea项目文件3个,Protobuf定义文件2个,Git忽略规则文件1个。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值