由“最近访客”引起的xss血案

最新推荐文章于 2024-10-11 17:39:47 发布
最新推荐文章于 2024-10-11 17:39:47 发布
阅读量82 收藏
点赞数
文章标签: javascript ViewUI
原文链接:https://yq.aliyun.com/articles/25671
版权

最近在首页粗糙地做了一个“最近访客”功能。

最近访客

然后我的首页就出现了各种有趣的家伙:

tips1

还有:

tips2

作为一名专业的前端,我居然被xss攻击了。 
在首页弹这个框,我真是:

害羞的表情

原因

在拼接“最近访客”的时候,我没有对多说返回的字段进行处理。

不是不知道会有XSS问题,而是没有重视起来; 我可不想经受惨痛的教训,才去牢记于心。

解决办法

对特别有存在安全隐患的地方,写了个函数进行过滤。 
这里,我用的是js-xss。里面有太多我没有见过的xss情况,比我自己考虑的肯定要多。

遇见过的常见出现XSS场景

  1. 接口返回的数据

    就像我这次遇见的xss,是多说接口返回的,数值是可以用户自己定义。以后在接口返回的数据我应该多做一层xss处理。这是最最常见的场景了。比如弹幕里面用户的留言,比如评论展示等等,太多地方了。

  2. 外部链接

    特别是引用外部网站的库,比如js文件等。外部恶意用户可以对其更改。

第一个是我最最常见的,一定要留心起来。

举个特例的XSS

本来是想自己写一个函数,简单的对<\>/<script></script>&!|等过滤下。但突然想起一个比较特殊的例子:

几年前,很流行用- []()!+这几个符号就组成javascript语句,叫jsfuck。它就可以避免这个简单的过滤。就像我在console里这样输出:

jsfuck

想必黑客们一定会有更多牛逼的方法。 
特别是在JS越来越牛逼的今日。 
最保险的还是createElement然后append,对于有XSS隐患的重要页面一定要这么做。

特写此文章,好好防XSS,不可忽视的隐患。 
特别特别特别是工作上的,有引起大大大危害的潜在。

weixin_34417183
关注
【Java代码审计】XSS
大河之犬的博客
12-16 2万+
XSS 漏洞是指攻击者在网页中嵌入客户端脚本(通常是 JavaScript 编写的恶意代码),进而执行其植入代码的漏洞。若 Web 应用未对用户可直接或间接控制的“输入”与“输出”参数进行关键字过滤或转义处理,则很可能存在跨站脚本漏洞。从 Web 应用上来看,攻击者可以控制的参数包括 URL 参数、post 提交的表单数据以及搜索框提交的搜索关键字,一般对该漏洞的审计策略如下收集输入、输出点查看输入、输出点的上下文环境。判断 Web 应用是否对输入、输出做了防御工作(如过滤、扰乱以及编码)
反射XSS和CORS漏洞的组合拳引发的血案
MachineGunJoe666
06-12 2340
前言概述 漏洞挖掘过程中,经常会碰到一些利用场景相对困难且危害十分有限的漏洞。 还有就是有一定危害性,但是普遍被定为低危的反射型XSS漏洞,在测试过程中碰到这类漏洞真的是内心复杂,提交平台就是低危,不交吧漏洞又确实存在安全风险。 那么如何把这些“鸡肋漏洞”的危害提升一个档呢? 接下来,就是变废为宝的操作。 1. 反射型XSS 反射型XSS一般存在于可直接将外部输入在浏览器输出的功能之中,例如搜索、文章分类、选择时间等参数直接输出在URL中。 一般来说小厂商对反射型XSS的关注并不多,早些年反射XS
盘点世界十大著名黑客攻击事件
weixin_55154866的博客
10-20 2749
相信很多像小编一样的80后,都听说过了蠕虫病毒,或者说熊猫烧香病毒,今天闲着没事,小编来跟大家盘点一下,世界典型大型黑客袭击事件。勒索病毒是一种源自美国国安局的一种计算机病毒。近百国中招,其中英国医疗系统陷入瘫痪、大量病人无法就医。中国的高校校内网也被感染。受害机器的磁盘文件会被加密,只有支付赎金才能解密恢复。勒索金额为是5个比特币,折合人民币分别为5万多元。据最新的报导称勒索病毒事件幕后黑客已收到8.2个比特币。
XSS漏洞利用
2302_79885863的博客
04-01 2345
输出编码主要有URL、HTML、JS可以采用白名单验证或者黑名单验证方法。白名单验证:对用户提交的数据进行格查,只接受指定长度范围内、采用适当格式和预期字符的输入,其余一律过滤黑名单验证:对包含XSS代码特征的内容进行过滤,如"“、“script”、”#"等·对所有输出字符进行HTML编码‘’ 转成& gt;‘&’ 转成& amp;" 转成& quot;’ 转成& #39;
XSS攻击详解
热门推荐
m0_55854679的博客
02-22 3万+
XSS文章 文章目录什么是XSSXSS能做什么XSS业务场景XSS类型如何检测XSSXSS核心 —— 同源策略注意:XSS语句XSS防御方法XSS检测方法 —— XSS平台反射型XSS练习存储型XSS练习 什么是XSS 跨站脚本攻击(前端注入) 注入攻击的本质,是把用户输入的数据当做前端代码执行。 设置cookie操纵浏览器: 这里有两个关键条件: 第一个是用户能够控制输入; 第二个是原本程序要执行的代码,拼接了用户输入的数据。 SQL注入拼接的是操作数据库的SQL语句。XSS拼接的是网页的HTML代码
修复富文本编辑器引起XSS安全问题
weixin_45394033的博客
10-24 3272
在平时使用的富文本编辑器中也会存在恶意输入JS脚本使用js-xss 对文本进行过滤,删除掉可能存在的脚本富文本形式输入脚本的形式是 存储型xss,提交的数据存在脚本,并且保存成功。其他人访问当前页面就会触发开启httponly(禁止JS获取Cookie)输入过滤,输出转义。
XSS漏洞
zhoutong2323的博客
04-19 2332
XSS漏洞(Cross-Site Scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者在受害者的浏览器中注入恶意脚本。当受害者访问包含恶意脚本的网页时,攻击者就可以利用该漏洞来执行任意的代码,例如窃取用户的敏感信息、修改网页内容或进行其他恶意活动。
SpringBoot通过AOP实现Xss攻击拦截
一恍过去
02-27 1万+
SpringBoot通过AOP实现Xss攻击拦截
Vue中v-html引起xss攻击(防止script注入)
meimeib的博客
07-16 3066
v-html引起xss攻击场景 <div v-html="html"></html> data(){ return { html:'alert('1')' } } 解决办法 1. 下载 xss 依赖 npm install xss --save 2. main.js中引入xss包并挂载到vue原型上 import xss from "xss"; Vue.prototype.xss = xss; 3. 在vue.config.js中覆写html指令 chainWebpac
XSS 安全漏洞介绍及修复方案
墨鸦的博客
06-25 7849
XSS 安全漏洞介绍及修复方案
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
XSSBypass:XSS绕过技术
05-17
**XSS(跨站脚本攻击)Bypass:探索XSS绕过技术** XSS(Cross-Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本,进而执行非授权的操作。当Web应用程序未能充分地验证和转义...
xss特殊字符拦截与过滤
04-01
XSS攻击是指攻击者通过在Web页面插入恶意脚本代码,当其他用户浏览这些页面时,嵌入其中的脚本就会执行,从而盗取用户信息或者篡改网页。本篇代码展示了如何通过编程手段拦截和过滤这些危险代码,保障Web应用程序的...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
xss_javaxss_XSS_
10-04
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过在网页中注入恶意脚本,来劫持用户会话、窃取敏感信息或执行其他恶意操作。Java作为广泛使用的服务器端编程语言,也可能会遭遇...
【JAVA开源】基于Vue和SpringBoot的高校学科竞赛平台
杨荧的CSDN博客
10-10 1475
教师功能有个人中心,题目类型管理,竞赛题库管理,竞赛类型管理,竞赛信息管理,报名信息管理,竞赛评分管理,参赛名单管理,晋级名单管理,获奖名单管理,竞赛总结管理,报销清单管理,成绩申诉管理,参赛信息管理,参赛信息管理,往年成绩管理,获奖情况管理。
使用 Redis 在 Spring Boot 中实现排行榜功能
fudaihb的博客
10-10 1597
在现代的应用程序中,排行榜功能广泛应用于游戏、社交网络、电商等领域,用于展示用户的排名情况。为了在大并发的环境下快速、高效地实现排行榜功能,Redis 提供了强大的数据结构 `Sorted Set`(有序集合),能够以 O(log N) 的时间复杂度进行元素插入和查询,非常适合排行榜这种场景。 本文将详细介绍如何在 Spring Boot 中使用 Redis 实现排行榜功能。我们将介绍 Redis 的 `Sorted Set` 数据结构,结合具体代码演示如何实现排行榜的增、删、查、改,并讨论排行榜的一些
npm 和 npx 的区别和使用场景
Dou_Hua6的博客
10-09 708
自动下载和缓存:如果本地未安装所需包,npx会自动下载并执行,执行完毕后可以选择保留或删除。脚本运行:通过package.json中的scripts字段定义和运行自定义脚本。依赖管理:管理项目的dependencies和devDependencies。简化命令行工具的使用:临时执行命令,避免全局安装带来的版本冲突或污染。npm 全称:Node Package Manager。发布包:将自己的包发布到npm注册表供他人使用。:无需全局安装即可运行npm包中的可执行文件。
JavaScript】移动色块案例 实现一个可以拖动并且在拖动过程中会自动改变颜色的色块(JS 事件监听器)
最新发布
m0_66584716的博客
10-11 1341
- **移动色块**:用户可以通过鼠标按住并拖动页面上的红色方块(`#blocks`)。当用户按下鼠标左键时,色块开始跟随鼠标的移动而移动;当用户释放鼠标左键时,色块停止移动。 - **显示当前位置**:随着色块的移动,其当前的屏幕坐标(相对于浏览器窗口)会被实时更新,并显示在页面底部左侧的位置显示区域(`#positionDisplay`)中。 - **自动变色**:一旦用户开始拖动色块,系统就会每隔300毫秒随机改变一次色块的颜色。颜色的变化是通过调用 `getRandomColor()` 函数生成一个
XSS攻击payload脚本字典详解
资源摘要信息:"xss常见payload脚本" 1. XSS概述 XSS(跨站脚本攻击)是一种常见的网络安全攻击方式,它允许攻击者在用户的浏览器上执行恶意脚本。XSS攻击可以分为反射型、存储型和基于DOM的三种类型。攻击者通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值