实战:WEB攻击之网页脚本攻击试验

最新推荐文章于 2023-02-22 16:45:00 发布
最新推荐文章于 2023-02-22 16:45:00 发布
阅读量332 收藏 1
点赞数
文章标签: python
原文链接:https://my.oschina.net/hetiangui/blog/135462
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

在试验之前,先给大家抛出本试验的题目,大家在看后续文章前可以自行练习下,练步骤如下:

1、打开http://58.22.105.164:7002/jdha-client/flowassistant/1.jsp

2、随便输入一个昵称,然后点"确定"按钮;

3、在后续的页面上有一个灰色的按钮,是disabled状态,大家有办法把它变成可用状态码?

-----------------------------------------------------------------

答案很简单,在第一个页面的文本输入框中输入以下内容即可搞定:

<script>document.getElementById("btn1").disabled=false;</script>

--------------------------------------------------------------

这个例子给大家有什么感触呢?我的感触是:

1、所有写在页面上的逻辑校验都是假的,后台在接收到前台提交的所有数据后,一定要再做一次必要的逻辑校验;

2、必须对页面提交的所有参数,特别是像本例子一样,将提交的参数显示在页面上的参数,必须对<script> <object> <embed>等关键词进行过滤转换,如将<转换成&lt;

 

再给大家做个引申? 如果第二个页面上只有一个不可用的按钮,没有任何输入参数,大家是否在客户端让其运行呢?答案是肯定的!破解的方式同12306火车票自动订票插件原理一样,以下是测验网址:

http://58.22.105.164:7002/jdha-client/flowassistant/3.jsp

大家先自行试验一下,破解步骤我后续详细补充!

----------------------------------------------------

补充答案:采用JS插件方式,JS插件在IE、FIREFOX上都有解决方案,我这里讨论的是采用CHROME的JS插件方式实现,实现的详细过程见我的另外一篇博文:http://my.oschina.net/hetiangui/blog/135744

转载于:https://my.oschina.net/hetiangui/blog/135462

weixin_34288121
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB脚本攻击
04-18
B/S时代到来,web的安全变得越来越重要!
典型Web攻击(网络空间安全实训)
qq_44047806的博客
06-07 2034
典型****Web攻击 1.实验内容与环境 1.1实验内容 SQL注入、XSS、CSRF、文件上传、目录遍历(SQL注入必做,其它四选一)。可以基于如下实验环境,也可以百度“实验楼”等实验环境,或采用google hacking方式在网上找“合适的”目标系统(适可而止)。SQL注入若只是“万能钥匙”方式登录目标系统,则成绩为及格,适当进一步攻击(可以借助啊D等工具),则可获中等及以上成绩,最高境界是SQL注入至获取数据库表内容。 1.2实验环境 操作系统:Windows10 CPU:I7-8450H 内存:
网页脚本攻击防范全攻略(一)
05-14 4919
  近来,网络上的SQL Injection 漏洞利用攻击,JS脚本,HTML脚本攻击似乎逾演逾烈。陆续的很多站点都被此类攻击所困扰,并非像主机漏洞那样可以当即修复,来自于WEB攻击方式使我们在防范或者是修复上都带来了很大的不便。HOOO…… 一个站长最大的痛苦莫过于此。自己的密码如何如何强壮却始终被攻击者得到,但如何才能做到真正意义上的安全呢?第一,别把密码和你的生活联系起来;第二,Super
实验报告 五
ayg64628的博客
04-22 248
1.sql注入 首先搭建虚拟机 用kali扫描下当前网段 发现一个192.168.138.134的可疑ip地址 打开该虚拟机提供的网页 使用发现可能存在sql注入点 http://192.168.138.134/cat.php?id=1 http://192.168.138.134/cat.php?id=1' 使用order by语句试出网站后台数据库表...
Web安全之跨站脚本攻击(XSS)
最新发布
javagty6778的博客
02-22 199
跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS 攻击,通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,从而通过“HTML注入”篡改了网页,插入了恶意的脚本,然后在用户浏览网页时,控制用户浏览器(盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害)的一种攻击方式。
JSP&WEB;\06-09
07-19
【标题】"JSP&WEB; \06-09" 暗示这是一个关于Java Server Pages(JSP)和Web开发的专题,可能是一个课程、教程或项目的第6到第9部分的内容。在这个主题中,我们将深入探讨JSP的核心概念、Web应用程序的开发以及这...
react-blog:通过反复试验来学习React和所有这些时髦框架的时间
04-30
在`package.json`文件中,你可以看到依赖项和脚本,理解构建过程。 总结来说,通过这个`react-blog-master`项目,你可以学习React组件化开发,JSX语法,状态和props的管理,生命周期方法或Hooks,路由管理,以及...
各类试验操作演示合集
05-22
实战试验通常是最具挑战性的部分,因为它们要求将所学知识综合运用到真实的网络环境中。这可能包括网络故障排查,性能优化,以及应对各种突发情况的策略制定。 这个压缩包中的"各类试验操作演示合集10"很可能包含了...
Ensayo:这是一个论文库
05-25
在实践中,"Ensayo"项目可以作为学习和理解Java Web开发的实战案例,帮助开发者提升在客户端服务器通信、数据库操作、错误处理和性能优化等方面的能力。通过分析和修改"Ensayo"的代码,开发者能够加深对Java语言和...
little-tokyo:一个前端开发游乐场
07-02
这个项目不仅提供了学习材料,还为开发者提供了一个实战环境,可以在实际代码中试验和调试,从而加深理解和提升技能。无论你是初学者还是经验丰富的开发者,"小东京"都能成为你提升前端技能的有趣游乐场。
Web攻防实验报告
01-24
Web攻防实验报告,设计WebGoat攻击和预防以及XSS攻击预防的详细实验步骤,了解Web攻防原理
脚本,大用场----浅谈WEB攻击技术(案例及演示)
06-20
WEB服务器攻击技术——案例及演示 提纲 ● web时代,脚本的舞台 ● 一次虚拟的web攻击 ● OS+DB ● SQL注入 ● 跨站 ● 挂马 ● 防御 ● 常用资源
网站脚本攻击
weixin_34220963的博客
04-11 331
2019独角兽企业重金招聘Python工程师标准>>> ...
脚本及恶意网页攻击实验
大橘的博客
05-07 856
脚本及恶意网页攻击实验实验条件实验过程步骤一步骤二步骤三步骤四步骤五步骤六 实验条件 本实验可在 Windows XP及以上版本操作系统的计算机上进行,该计算机既可以是一台物理机,也可以是一台虚拟机。 实验过程 步骤一 以Administrator身份登录实验中的计算机操作系统。 步骤二 进入实验前先准备好脚本文件.相关文件的内容,在随后的实验中将会介绍。 步骤三 用“记事本”等文本编辑工具打开“创建.txt”文件,将显示如图所示的执行脚本的内容。 <HTML> <HEAD> &
【愚公系列】2023年05月 Web渗透测试之攻击内网Redis
热门推荐
时光隧道
08-24 5万+
Redis的内网渗透是指攻击者利用漏洞或者弱密码进入Redis服务器所在的内网,然后利用Redis服务本身的漏洞或者弱密码拿到Redis服务器的控制权,并继续向内网内的其他计算机和服务发起攻击。这种攻击方式在内部网络防火墙被绕过的情况下非常有效,因此需要加强Redis本身的安全保护措施,并加强内网安全防范措施。
《CSSV交叉脚本网站攻击实现》
dis86的博客
10-24 590
讨论以下问题:                 1、Internet的脚本技术有什么作用?                 2、如何防止CSSV攻击?                 3、Web网站的创建者可以进行何种类型的测试,以便抵御CSSV攻击?         交叉网站脚本攻击(Cross Site Scripting Vulnerability,CSSV)是一种相对较新的攻击形式,它可以...
防止网站遭受恶意脚本攻击
尹子昊专栏
06-03 1000
import java.io.IOException; import java.util.Enumeration; import java.util.Map; import java.util.Set; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; impor
常见web攻击总结
weixin_30418341的博客
04-12 322
每天学习一点点 编程PDF电子书、视频教程免费下载:http://www.shitanlife.com/code XSS 什么是XSS XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS是一种常见的web安全漏洞,它允许攻击者将恶意代...
理解与实战:XSS跨站脚本攻击基础教程
XSS脚本攻击是一种常见的网络安全威胁,主要针对Web应用程序。XSS(Cross-Site Scripting)攻击允许攻击者在目标网站上注入恶意脚本,这些脚本能够在用户的浏览器上执行,从而窃取敏感信息,如Cookie数据,或者进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值