实战:WEB攻击之网页脚本攻击试验

最新推荐文章于 2024-04-16 11:20:54 发布
最新推荐文章于 2024-04-16 11:20:54 发布
阅读量332 收藏 1
点赞数
文章标签: python
原文链接:https://my.oschina.net/hetiangui/blog/135462
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

在试验之前,先给大家抛出本试验的题目,大家在看后续文章前可以自行练习下,练步骤如下:

1、打开http://58.22.105.164:7002/jdha-client/flowassistant/1.jsp

2、随便输入一个昵称,然后点"确定"按钮;

3、在后续的页面上有一个灰色的按钮,是disabled状态,大家有办法把它变成可用状态码?

-----------------------------------------------------------------

答案很简单,在第一个页面的文本输入框中输入以下内容即可搞定:

<script>document.getElementById("btn1").disabled=false;</script>

--------------------------------------------------------------

这个例子给大家有什么感触呢?我的感触是:

1、所有写在页面上的逻辑校验都是假的,后台在接收到前台提交的所有数据后,一定要再做一次必要的逻辑校验;

2、必须对页面提交的所有参数,特别是像本例子一样,将提交的参数显示在页面上的参数,必须对<script> <object> <embed>等关键词进行过滤转换,如将<转换成&lt;

 

再给大家做个引申? 如果第二个页面上只有一个不可用的按钮,没有任何输入参数,大家是否在客户端让其运行呢?答案是肯定的!破解的方式同12306火车票自动订票插件原理一样,以下是测验网址:

http://58.22.105.164:7002/jdha-client/flowassistant/3.jsp

大家先自行试验一下,破解步骤我后续详细补充!

----------------------------------------------------

补充答案:采用JS插件方式,JS插件在IE、FIREFOX上都有解决方案,我这里讨论的是采用CHROME的JS插件方式实现,实现的详细过程见我的另外一篇博文:http://my.oschina.net/hetiangui/blog/135744

转载于:https://my.oschina.net/hetiangui/blog/135462

weixin_34288121
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全之跨站脚本攻击(XSS)
javagty6778的博客
02-22 199
跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS 攻击,通常指黑客利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,从而通过“HTML注入”篡改了网页,插入了恶意的脚本,然后在用户浏览网页时,控制用户浏览器(盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害)的一种攻击方式。
JSP&WEB;\06-09
07-19
【标题】"JSP&WEB; \06-09" 暗示这是一个关于Java Server Pages(JSP)和Web开发的专题,可能是一个课程、教程或项目的第6到第9部分的内容。在这个主题中,我们将深入探讨JSP的核心概念、Web应用程序的开发以及这...
网络安全实验——web安全
weixin_58628068的博客
05-18 3203
XSS(Cross-Site Scripting)是一种常见的Web应用程序漏洞,攻击者可以通过注入恶意脚本来获取用户的敏感信息或者控制用户的账户。攻击者可以通过在输入框、URL参数等地方注入恶意脚本来实现XSS攻击。为了防止XSS攻击,应该对用户提交的数据进行过滤和转义,避免将用户输入的内容作为HTML或JavaScript代码直接输出到页面上。在盗取rookie(一个虚拟人物)的实验中,攻击者通过在评论中注入恶意脚本,来实现对rookie账户的控制。
利用web漏洞入侵网站并控制服务器、Web漏洞原理与利用
最新发布
m0_73650888的博客
04-16 1804
经过本次实验,我深刻了解了网络无安全这句话,了解了端口扫描和漏洞扫描,并掌握了多种软件的使用,掌握了端口及漏洞扫描的一些基本知识,掌握一些网络入侵的基本流程,并且让我可以了解到远程主机所存在的一些问题。2、选择Options-Configuration命令,此时打开Options对话框,在这里可以设置扫描属性,包括扫描时延、线程优先级、线程数量、扫描IP/Port列表设置等选项。应用池程序 --defaultapppool--高级设置--常规--启用32位应用程序--True。
HTTP攻击实战以及防御手段
爱吃仡坨的Blog
08-07 1076
http攻击实战以及简略的防御手段
react-blog:通过反复试验来学习React和所有这些时髦框架的时间
04-30
在`package.json`文件中,你可以看到依赖项和脚本,理解构建过程。 总结来说,通过这个`react-blog-master`项目,你可以学习React组件化开发,JSX语法,状态和props的管理,生命周期方法或Hooks,路由管理,以及...
各类试验操作演示合集
05-22
实战试验通常是最具挑战性的部分,因为它们要求将所学知识综合运用到真实的网络环境中。这可能包括网络故障排查,性能优化,以及应对各种突发情况的策略制定。 这个压缩包中的"各类试验操作演示合集10"很可能包含了...
Ensayo:这是一个论文库
05-25
在实践中,"Ensayo"项目可以作为学习和理解Java Web开发的实战案例,帮助开发者提升在客户端服务器通信、数据库操作、错误处理和性能优化等方面的能力。通过分析和修改"Ensayo"的代码,开发者能够加深对Java语言和...
little-tokyo:一个前端开发游乐场
07-02
这个项目不仅提供了学习材料,还为开发者提供了一个实战环境,可以在实际代码中试验和调试,从而加深理解和提升技能。无论你是初学者还是经验丰富的开发者,"小东京"都能成为你提升前端技能的有趣游乐场。
WEB脚本攻击
04-18
B/S时代到来,web的安全变得越来越重要!
Web攻防实验报告
01-24
Web攻防实验报告,设计WebGoat攻击和预防以及XSS攻击预防的详细实验步骤,了解Web攻防原理
脚本,大用场----浅谈WEB攻击技术(案例及演示)
06-20
WEB服务器攻击技术——案例及演示 提纲 ● web时代,脚本的舞台 ● 一次虚拟的web攻击 ● OS+DB ● SQL注入 ● 跨站 ● 挂马 ● 防御 ● 常用资源
Web应用的安全攻防之跨站脚本攻击(XSS)
08-23
Web应用的安全攻防之跨站脚本攻击(XSS)Web应用的安全攻防之跨站脚本攻击(XSS)
典型Web攻击(网络空间安全实训)
qq_44047806的博客
06-07 2034
典型****Web攻击 1.实验内容与环境 1.1实验内容 SQL注入、XSS、CSRF、文件上传、目录遍历(SQL注入必做,其它四选一)。可以基于如下实验环境,也可以百度“实验楼”等实验环境,或采用google hacking方式在网上找“合适的”目标系统(适可而止)。SQL注入若只是“万能钥匙”方式登录目标系统,则成绩为及格,适当进一步攻击(可以借助啊D等工具),则可获中等及以上成绩,最高境界是SQL注入至获取数据库表内容。 1.2实验环境 操作系统:Windows10 CPU:I7-8450H 内存:
Web爆破攻击实战Web前端黑客技术解密
javagty6778的博客
03-08 786
在很多情况下,黑客在找不到其他途径进入 Web 管理后台时,就会采用暴力破解的方式来破解后台管理员的账号和密码。所谓暴力破解,就是使用“穷举法”,对用户名和密码进行逐个猜解,直至猜出来为止。虽然暴力破解显得不是很有技术含量,但确实最有效的一种方式。理论上来说,只要时间足够,终究会把用户名和密码猜解出来。为了提高暴力破解的效率,一般在破解时,都会使用字典。所谓字典,就是黑客会把自己认为的有可能是正确的密码,以及曾经碰到过的密码,写到一个文档里去,这个文档就是字典。
网络渗透测试实验
babywhale_bi的博客
12-13 3967
网络渗透测试实验报告 实验目的 通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用,系统环境:Kali Linux 2、WebDeveloper靶机来源:https://www.vulnhub.com/ 实验工具:不限 实验内容、原理 目的:获取靶机Web Developer 文件/roo..
xss介绍
songxiaomianbao的博客
08-24 818
详情介绍: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容...
实验报告 五
ayg64628的博客
04-22 248
1.sql注入 首先搭建虚拟机 用kali扫描下当前网段 发现一个192.168.138.134的可疑ip地址 打开该虚拟机提供的网页 使用发现可能存在sql注入点 http://192.168.138.134/cat.php?id=1 http://192.168.138.134/cat.php?id=1' 使用order by语句试出网站后台数据库表...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值