java http url xss_在XSS测试中用JAVA模拟POST请求

最新推荐文章于 2023-06-29 15:15:33 发布
最新推荐文章于 2023-06-29 15:15:33 发布
阅读量128 收藏
点赞数
文章标签: java http url xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36127579/article/details/114732760
版权

该场景应用在XSS测试,这个过程我们针对某一特定的请求,进行测试

import java.io.BufferedReader;

import java.io.BufferedWriter;

import java.io.IOException;

import java.io.InputStreamReader;

import java.io.OutputStreamWriter;

import java.io.PrintWriter;

import java.io.UnsupportedEncodingException;

import java.net.Socket;

import java.net.URLEncoder;

import java.util.ArrayList;

import java.util.List;

/**

*

* @author jingmin

*

*/

class ServerConn {

private int m_port = 0;

private Socket m_socket = null;

private String m_ip = null;

public void setPort(int port) {

this.m_port = port;

}

public void setIp(String ip) {

this.m_ip = ip;

}

/***

*

* @param post_URL

* @param Accept

* @param User_agent

* @param Accept_Lan

* @param Content_type

* @param Accept_enCoder

* @param Host

* @param Connection

* @param Cookie

* @param Cache_control

* @throws

*/

public String setHeader(String post_URL, String Accept_type, String Refer,

String Accept_Lan, String User_agent, String Content_Type,

String request, String Accept_encode, String Host,

String Connection, String Cookie, String Cache_control,

Listdata) {

String Header = "";

String Enter = "rn";

if (post_URL != "") {

Header += "POST " + post_URL + " HTTP/1.1" + Enter;

} else {

return null;

}

if (Host != "") {

Header += "Host: " + Host + Enter;

}

if (User_agent != "") {

Header += "User-Agent: " + User_agent + Enter;

}

if (Accept_type != "") {

Header += "Accept: " + Accept_type + Enter;

}

if (Accept_Lan != "") {

Header += "Accept-Language: " + Accept_Lan + Enter;

}

if (Accept_encode != "") {

Header += "Accept-Encoding: " + Accept_encode + Enter;

}

if (Content_Type != "") {

Header += "Content-Type: " + Content_Type + Enter;

}

if (request != "") {

Header += "X-Requested-With: " + request + Enter;

}

if (Refer != "") {

Header += "Referer: " + Refer + Enter;

}

int nLength = 0;

for (int i = 0; i 

nLength += data.get(i).length();

}

nLength++;

Header += "Content-Length: " + nLength + Enter;

if (Cookie != "") {

Header += "Cookie: " + Cookie + Enter;

}

if (Connection != "") {

Header += "Connection: " + Connection + Enter;

}

if (Cache_control != "") {

Header += "Cache-Control: " + Cache_control + Enter;

}

Header += Enter;

try {

for (int i = 0; i 

if (i % 2 == 0) {

if ((i + 1) 

String tmp = URLEncoder.encode(data.get(i), "utf-8")

+ "="

+ URLEncoder.encode(data.get(i + 1), "utf-8");

Header += tmp;

if (i + 2 >= data.size()) {

break;

} else {

Header += "&";

}

}

}

}

} catch (Exception e) {

e.printStackTrace();

}

return Header;

}

public int Connect() {

BufferedReader br = null;

BufferedWriter bw = null;

OutputStreamWriter ow = null;

try {

m_socket = new Socket(m_ip, m_port);

br = new BufferedReader(new InputStreamReader(

m_socket.getInputStream()));

ow = new OutputStreamWriter(m_socket.getOutputStream());

bw = new BufferedWriter(new BufferedWriter(ow));

Listmm = new ArrayList();

mm.add("option");

mm.add("ljw1");

String result = setHeader(

"/view/Index.ashx",

"text/html,*/*;q=0.01",

"http://inventiontool.net/",

"zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3",

"Mozilla/5.0 (Windows NT 6.1; rv:42.0) Gecko/20100101 Firefox/42.0",

"application/x-www-form-urlencoded; charset=UTF-8",

"XMLHttpRequest",

"gzip,deflate",

"inventiontool.net",

"keep-alive",

"Hm_lvt_f5127c6793d40d199f68042b8a63e725=1444853303,1445609377; Hm_lvt_b83513d98d2b70b2f807abde70212fec=1444853303,1445609380",

"no-cache", mm);

bw.write(result);

bw.flush();

String get_result = null;

while ((get_result = br.readLine()) != null) {

System.out.println(get_result);

}

System.out.println("接受完成");

} catch (Exception e) {

e.printStackTrace();

} finally {

try {

br.close();

bw.close();

m_socket.close();

} catch (IOException e) {

e.printStackTrace();

}

}

return 0;

}

}

public class Hello {

public static void main(String[] args) {

System.out.println("we begin..");

ServerConn sc = new ServerConn();

sc.setIp("115.24.160.250");

sc.setPort(80);

sc.Connect();

}

}

这里呢,我们需要进行做下笔记

1.进行POST请求的时候,其中请求头部和post数据两者之间需要两个rn!!!!!!!!

2.如果出现HTTP   400 BAD REQUEST,需要注意两个点,一个是 Content-type,另一个则是Content-Length这两个值一定得正确!!!,才行

3.中途出现了中文乱码问题,我们在eclipse中进行设置了编码问题,只需要进行编码设置为UTF-8

329f05dcd63bca0c4652a6d24ca55fd8.png

罗让
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
curl http header_在HTTP头中进行XSS
weixin_39978696的博客
11-29 677
说到 XSS 相信大家肯定都不陌生(都 2020 年了,还在讲 XSS 这种老掉牙的东西),有些人甚至看到输入框就想往里面输 <script>alert(1)</script> ,今天我们就来学习 怎样在 HTTP 头中进行 XSS ?直奔主题,先几个 XSS 的经典案例:<form action="/xss.php/"><svg onload=alert...
XSS漏洞测试工具
02-10
XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到。 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行
xssdemo:具有XSS的示例Java应用程序
03-29
xssdemo:具有XSS的示例Java应用程序
java http url xss,网站漏洞Web页面16个常见安全问题
weixin_35457966的博客
03-13 239
网站漏洞是我们经常会遇到也会经常面对的一个词语,也是最令站长们和网站运维人员最头痛的一个词语。今天小编就给大家总结一下中常见的安全漏洞,不会的运维小白们,赶紧看过来了。1、什么是SQL注入?SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力...
PHP模拟post提交数据方法汇总
01-21
使用php模拟post传值虽然在日常生活中用到的不是很多,但是在某些场合还是经常用到的。下面软件开发网小编给大家整理了三种php模拟post传值的方法,file_get_contents、curl和socket。 第一种:file_get_contents来...
HTTP.rar_http服务器代码
09-22
HTTP服务器是互联网上服务端应用的核心部分,它负责接收客户端(通常...总之,"HTTP.rar_http服务器代码"提供了学习和实践HTTP服务器开发的良好起点,对于提升C++网络编程能力,以及对HTTP协议的理解都具有很大的价值。
Excel_On_Java_Script:纯Java脚本应用
03-05
1. **XMLHttpRequest或Fetch API**: 这些是JavaScript中用于发送HTTP请求的工具,可以用来下载或上传Excel文件。通过GET或POST请求,我们可以获取或提交Excel数据。 2. **文件读取API**: 使用FileReader对象,可以...
php使用$_POST或$_SESSION[]向js函数传参
12-18
`$_POST`和`$_SESSION`是PHP中两个常见的全局数组,它们分别用于处理HTTP请求中的POST数据和存储会话数据。下面将详细讨论如何使用这两种方式以及`echo`语句来实现PHP向JavaScript的参数传递。 1. 使用`$_POST`向...
java servlet 博客源码
05-20
2. **HTTP协议**:Servlet处理的是HTTP请求和响应,因此理解HTTP方法(GET, POST等)以及请求头、请求参数和响应状态码至关重要。 3. **MVC模式**:模型-视图-控制器(MVC)是一种常见的软件设计模式,用于分离业务...
XSS攻击检测
01-22
XSS攻击检测代码,删除bin生成的class,直接使用src加载.java 就好了,开发采用的myeclipse,使用其他工具的注意修改,
java跨站攻击_安全测试-跨站脚本攻击(xss
weixin_39647471的博客
02-20 524
跨站脚本简称XSS(cross sites script),是web安全里比较重要也比较普遍的一种安全漏洞。跨站脚本是指输入恶意的代码,如果程序没有对输入输出进行验证,则浏览器将会被攻击者控制。可以得到用户cookie、系统、浏览器信息,保存型xss还可以进行钓鱼,以获取更多的用户信息。最常见的测试跨站脚本的方法,输入alert(1)以及它的各种变体alert(1) 实体%3Cscript%3Ea...
XSS检测Java源码
Little Boy
08-31 2153
1、跨站脚本的概念 这里就不多说了,可以百度。或者去看: 邱永华. XSS 跨站脚本攻击剖析与防御[J]. 中国科技信息, 2013, 20: 079. 吴翰清. 白帽子讲 Web 安全[J].信息安全与通信保密, 2015 (5): 93. 2.防御框架 自己查阅了文献参考了网上一些代码,自己实现了一套防御框架。 防御框架结构图如下如所示:
java发起application/x-www-form-urlencoded格式的post请求
weixin_43839871的博客
05-13 2229
java发起application/x-www-form-urlencoded格式的post请求
java服务端模拟HTTP发送表单请求,包括上传文件及其他参数
可爱的程序yuan
08-05 2338
java服务端模拟HTTP发送表单请求,包括上传文件及其他参数,可自定义参数信息
Java中的10种方法防止XSS攻击
最新发布
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
angular2 post以“application/x-www-form-urlencoded”形式传参的解决办法
热门推荐
tianjun2012的专栏
05-16 2万+
以前没接触过angular1.x,现在用刚angular2的时候做项目,由于后台SpringMVC接收参数的默认形式是application/x-www-form-urlencoded,angular1.x和2.0默认都是application/json形式,所以后台接收不到参数,之前项目中,我都是在SpringMVC中增加额外代码让它对json的参数进行自适应,这么做就比较影响性能和有点坑(pos
spring利用filter进行xss过滤(包含post请求)以及请求入参日志输出
六年级的叔叔
04-20 4959
背景:过滤xss攻击,同时将过滤后的日志输出到指定文件。(指定文件输出请看上篇博文) 前景:利用filter进行xss攻击过滤,需要应对不同请求做不同的过滤处理,若是post请求的json格式数据,需要重写getinputstream方法(因为流读取一次后,下层controller无法再次进行读取。原理可自行百度) 因此需要重写两个wrapper(继承HttpServletRequestWra...
Java解决XSS攻击方式
weixin_44858201的博客
03-30 1万+
前言 在项目验收阶段,通常会对待验收项目做一些安全漏洞的测试,比如接口攻击,并发测试XSS注入,SQL恶意注入测试,安全越权等操作,这时,就是考验项目的安全方面是否做的足够健壮的时候,本篇对XSS脚本攻击在实际WEB项目中的处理办法,提供2种可实行的方法 XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 F
java代码过滤xss 请求体示例
06-08
以下是一个Java代码示例,可以使用Jsoup库对HTTP请求体中的参数进行XSS过滤: ```java import org.jsoup.Jsoup; import org.jsoup.safety.Whitelist; public class XssUtils { public static String xssFilter(String input) { if (input == null || input.isEmpty()) { return input; } return Jsoup.clean(input, Whitelist.basic()); } } ``` 然后,在处理HTTP请求的代码中,可以使用上述的xssFilter()方法对请求体中的参数进行XSS过滤。例如: ```java import javax.servlet.http.HttpServletRequest; public class MyController { @PostMapping("/submit") public String handleSubmit(HttpServletRequest request) { String name = XssUtils.xssFilter(request.getParameter("name")); String message = XssUtils.xssFilter(request.getParameter("message")); // ... return "success"; } } ``` 在上述示例代码中,我们使用了Jsoup的clean()方法对参数进行了基本的XSS过滤,防止了一些常见的攻击。但需要注意的是,XSS攻击是一种非常复杂的安全问题,单靠基本的过滤是不能完全保证安全的,还需要根据具体场景进行更加细致的安全策略设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值