php伪协议xss,XSS跨站脚本攻击

最新推荐文章于 2024-03-26 22:04:46 发布
VIP文章 最新推荐文章于 2024-03-26 22:04:46 发布
阅读量525 收藏 1
点赞数 1
文章标签: php伪协议xss

一、简介

XSS(cross site script)是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。

二、原因解析

主要原因:过于信任客户端提交的数据,客户端提交的数据本来就是应用所需要的,但是恶意攻击者利用网站对客户端提交数据的信任,在数据中插入一些符号以及javascript代码,那么这些数据将会成为应用代码中的一部分了。那么攻击者就可以肆无忌惮地展开攻击啦。

解决办法:不信任任何客户端提交的数据,只要是客户端提交的数据就应该先进行相应的过滤处理然后方可进行下一步的操作。

三、XSS攻击分类

1、反射型XSS

又称为非持久性跨站点脚本攻击,它是最常见的类型的XSS。漏洞产生的原因是攻击者注入的数据反映在响应中。一个典型的非持久性XSS包含一个带XSS攻击向量的链接(即每次攻击需要用户的点击)。

2、存储型XSS

又称为持久型跨站点脚本,它一般发生在XSS攻击向量(一般指XSS攻击代码)存储在网站数据库,当一个页面被用户打开的时候执行。每当用户打开浏览器,脚本执行。持久的XSS相比非持久性XSS攻击危害性更大,因为每当用户打开页面,查看内容时脚本将自动执行。

3、DOM Based XSS

当用户能够通过交互修改浏览器页面中的DOM并显示在浏览器上时,就有可能产生这种漏洞,从效果上来说它也是反射型XSS。通过修改页面的DOM节点形成的XSS,称之为DOMBasedXSS。

最低0.47元/天 解锁文章
Haoqiang Fan
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHPXSS跨站攻击的防范
10-30
PHPXSS跨站攻击的防范
安全攻防之XSS
weixin_57543652的博客
03-04 786
在万物互联的时代,数据安全与个人隐私受到前所未有的挑战,各种攻防策略层出不穷,深入了解攻防底层的原理刻不容缓。本文旨在将日常开发上遇见的问题作总结,通过不断补全安全攻防方面的知识,形成对安全攻防体系有良好的运用。
php伪协议漏洞_第三十三课 文件包含漏洞基础以及利用伪协议进行攻击
weixin_39860757的博客
12-22 225
分类LFI(Local File Inclusion)本地文件包含漏洞,顾名思义,指的是能打开并包含本地文件的漏洞。大部分情况下遇到的文件包含漏洞都是LFI。简单的测试用例如前所示。RFI(Remote File Inclusion)远程文件包含漏洞。是指能够包含远程服务器上的文件并执行。由于远程服务器的文件是我们可控的,因此漏洞一旦存在危害性会很大。但RFI的利用条件较为苛刻,需要ph...
XSS伪协议
最新发布
csjjjd的博客
03-26 1049
a标签的href属性是一个常见的用户可控输入点,攻击者可以尝试利用这个属性来进行XSS攻击。常见的XSS攻击中会利用a标签的href当用户点击这个链接时,将执行JavaScript代码')
XSS篇——javascript:伪协议
weixin_50464560的博客
05-07 5931
一、前言 今天,遇到一个别人挖的坑,问题是这样的。 做了一个列表页,可以筛选数据,有很多筛条件。主要是有input复选框和<a>标签两种。如图:     其中房价的筛选条件使用<a>标签,代码如下 1 <a href="javascript:;" name="price">150元-300元</a>   用javascript:; 来阻止了a标签跳转链接。 但是,却发现在IE下面点击a标签,居然清除了其他input复选框.
XSS学习笔记(未完)
星落
11-01 999
XSS学习笔记
php伪协议漏洞_浅析phar反序列化漏洞攻击及实战
weixin_39785150的博客
12-10 620
浅析phar反序列漏洞攻击及实战前言phar反序列化漏洞很久之前就开始接触了;因为当时出了点问题导致一直无法成功,所以当时直接去学习其他的漏洞了;今天觉得是时候把这个漏洞补上去了;漏洞成因phar文件会以序列化的形式存储用户自定义的meta-data;该方法在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unse...
PHP、Apache环境中部署xsslabs(XSS跨站脚本攻击靶场)
01-08
PHP、Apache环境中部署xsslabs(XSS跨站脚本攻击靶场)
PHP实现的防止跨站和xss攻击代码【来自阿里云】
10-18
主要介绍了PHP实现的防止跨站和xss攻击代码,是一款来自阿里云的防注入脚本,可实现针对注入、XSS攻击等的过滤功能,需要的朋友可以参考下
利用PHP编程防范XSS跨站脚本攻击
03-04
首先,跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的,所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等,可以使用htmlentities() 。
三种xss攻击
economics3的博客
03-19 5555
如何做一次xss攻击 xss攻击攻击者向某个网页注入恶意代码。那么如何向一个网页注入代码? 表单,我们在浏览器中输入的内容会被当做浏览器url的查询参数 url,可以在url直接设定参数 使用js伪协议,参考:https://www.jb51.net/article/52358.htm 特别是最后一种伪协议,很多人都没用过。 xss攻击分类有多形式,我先按照dom和非dom模式进行区分。 非dom模式 在非dom模式中,注入的恶意代码都会被发往服务器,服务器对于这段恶意代码会有不同的处理。 1.假设发
XSS攻击介绍(一)】
热门推荐
qq_55213436的博客
04-12 2万+
一、前言 XSS跨站脚本攻击,即CSS。利用网页开发时留下的漏洞(web应用程序对用户的输入过滤不足),巧妙的将恶意的代码注入到网页中,使用户浏览器加载并执行恶意制造的代码,以达到攻击的效果。这恶意的代码通常是JS代码,但实际上也可以是JAVA、VBS、ActiveX、Flash或者是普通的HTML。(浏览器不会判断,只要是符合解析,那么就会执行恶意的代码)。可能存在XSS的地方:微博、留言板、聊天室等收集用户输入的地方都可能遭受XSS攻击的风险。只要你对用户的输入没有严格过滤。 ...
php伪协议xss,XSS漏洞学习
weixin_33028765的博客
04-08 384
XSS漏洞的原理XSS漏洞是发生在目标网站中目标用户的浏览层面上,当用户浏览器渲染整个HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就会发生。XSS漏洞的危害获取用户或者管理员的CookieXSS蠕虫钓鱼攻击挂马键盘记录等以下是可能嵌入跨源的资源的一些示例: 标签嵌入跨域脚本。语法错误信息只能在同浪脚本中捕则,CSS的跨域需要一个设置正确的 Content-Type消息头。不同浏览...
XSS_伪协议与编码绕过
南部余额的博客
05-25 2293
XSS_伪协议与编码绕过一级目录二级目录三级目录伪协议是什么?伪协议示例伪协议作用是什么?编码绕过Unicode编码Unicode,编码,HTML编码及URL编码浏览器解码浏览器解码顺序解码顺序编码顺序HTML解码HTML示例:HTML解码说明:2**号失败原因**:HTML编码用法:URL解码URL示例URL解码说明2号失败与3号失败原因:URL编码用法:JavaScript(\u)解码JavaScript示例URL解码说明:3号与5号失败原因:JavaScript编码用法:JavaScript(\ASC
PHP防范XSS攻击
IT部落格
03-03 2706
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
如何在 PHP 中防止 XSS
allway2的博客
07-24 2014
要解决此问题,您需要将htmlspecialchars()与所需参数一起使用,如果您在URL中使用用户数据,则将其与urlencode()函数结合使用。实际上,您可能会注意到,在Codeigniter部分中,我没有讨论属性问题,我已经在其他框架中讨论过。这三种类型的最大区别在于,在存储的XSS中,用户数据保存在数据库中,这与反射和基于DOM的XSS漏洞相反。现在,当我问我的大多数客户和学生,这个漏洞的影响是什么时,他们不断地告诉我,比如窃取用户信息、控制应用程序等等,仅此而已。...
php 跨站脚本攻击防御,跨站脚本攻击XSS)的原理、防范和处理方法
weixin_39989688的博客
03-10 581
0。关键字:XSS跨站脚本攻击,原理分析,攻击方式,防范,检查,恶意代码,蠕虫1。概念以下概念摘抄自百度百科:XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。2。生效方式1)构造URLXSS攻击者通过构造URL的方式构造了一...
跨站脚本漏洞(XSS)基础讲解(php处理防止XSS攻击类)
chenpeng0708的博客
04-14 1558
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? XSS 漏洞简介 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执...
跨站脚本攻击 xss_跨站脚本攻击XSS
culi3118的博客
08-11 805
跨站脚本攻击 xssA cross-site scripting attack is one of the top 5 security attacks carried out on a daily basis across the Internet, and your PHP scripts may not be immune. 跨站点脚本攻击是每天在Internet上进行的前五项安全攻击之一...
PHP 举例xss攻击
06-07
下面是一个 PHPXSS 攻击的例子: 假设有一个留言板的 Web 应用程序,用户可以通过输入留言内容来发布留言。应用程序将用户输入的留言内容存储在一个数据库中,并在 Web 页面中显示出来。下面是一个简单的 PHP 代码示例: ``` <?php $message = $_POST['message']; $conn = mysqli_connect('localhost', 'root', '', 'test'); $sql = "INSERT INTO messages (content) VALUES ('$message')"; mysqli_query($conn, $sql); mysqli_close($conn); ?> <!-- 在 Web 页面中显示留言 --> <div><?php echo $_POST['message']; ?></div> ``` 在上述代码中,我们通过 `$_POST` 获取用户输入的留言内容,并将其拼接到 SQL 插入语句中。由于没有对用户输入的数据进行任何验证和过滤,攻击者可以通过输入恶意代码来实现 XSS 攻击。例如,攻击者可以在留言内容中输入以下内容: ``` <script>alert('XSS Attack!');</script> ``` 这段代码会被插入到数据库中,并在 Web 页面中显示出来,从而实现恶意脚本的注入和执行。 为了避免 XSS 攻击,应该对用户输入的数据进行过滤和转义,例如使用 `htmlspecialchars()` 函数将特殊字符转义,或者使用输入验证来过滤恶意代码。例如,以下是对用户输入的留言内容进行转义和输出的示例代码: ``` <?php $message = $_POST['message']; $conn = mysqli_connect('localhost', 'root', '', 'test'); $message = htmlspecialchars($message); $sql = "INSERT INTO messages (content) VALUES ('$message')"; mysqli_query($conn, $sql); mysqli_close($conn); ?> <!-- 在 Web 页面中显示留言 --> <div><?php echo htmlspecialchars($_POST['message']); ?></div> ``` 在上述代码中,我们使用 `htmlspecialchars()` 函数将用户输入的留言内容进行转义,以避免恶意脚本的注入和执行。同时,在输出留言内容时也要使用 `htmlspecialchars()` 函数对其进行转义,从而保证 Web 页面的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值