Web渗透(三)bWAPP之HTML注入篇

最新推荐文章于 2024-07-03 12:39:41 发布
最新推荐文章于 2024-07-03 12:39:41 发布
阅读量2.2k 收藏 4
点赞数 1
分类专栏: 注入类漏洞 文章标签: HTML注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39157582/article/details/86677836
版权
本文介绍了HTML注入的概念,区分了它与XSS的区别。通过bWAPP平台,展示了反射型HTML注入(GET, POST, Current URL)的实例,讨论了防护策略,并提到了存储型HTML注入的危害。" 101381550,8647971,使用FCM方法进行图像聚类分析,"['图像处理', '机器学习', '聚类算法', 'SAR图像']
摘要由CSDN通过智能技术生成

bWAPP之HTML注入篇

0x01:什么是HTML注入?

HTML注入(Hypertext Markup Language Injection)中文意思是“超文本标记性语言注入”,众所周知HTML含有各种标签,如果Web应用程序对用户输入的数据没进行彻底的处理的话,那么一些非法用户提交的数据可能含有HTML其他标签,而这些数据又恰好被服务器当作正常的HTML标签显示,那么最终的结果是非法标签被解析(可以应用于钓鱼、社会工程学等),对其他用户造成很大影响。

0x02:HTML注入与XSS的区别

XSS(Cross-site Scripting)中文翻译是“跨站脚本攻击”,XSS本质上是HTML注入攻击,但又不同于HTML注入,XSS利用脚本标记运行JavaScript等脚本程序,可以通过JavaScript获取机密数据和一些列危险操作,而HTML注入只是使用HTML标签修改页面内容。

0x03:HTML Injection - Reflected (GET)

反射型HTML注入(GET方式)

First name填入< p style=“color:red”>html< /p>,Last name填入test,发现html字母变成红色,说明我们写入的html代码成功执行了,此网站存在html注入。在这里插入图片描述

0x04:HTML Injection - Reflected (POST)

反射型HTML注入(POST方式)

注:GET方式提交数据后浏览器地址栏会把提交的数据显示出来,POST则不会显示。

与上面GET方式一样
Firstname填入

html2

,Last name填入test,发现html2字母变成绿色,说明我们写入的html代码成功执行了,此网站存在html注入。
在这里插入图片描述

0x04:HTML Injection - Reflected (Current URL)

反射型HTML注入(Current URL)

首先,我们分析下源码
核心代码

 <div id="main">
最低0.47元/天 解锁文章
三体-二向箔
关注
专栏目录
bWAPP之环境搭建及HTML注入
世间繁华梦一出
04-28 746
一、环境搭建 在phpstudy这一集成环境中搭建此漏洞练习靶场 (1)下载链接: https://sourceforge.net/projects/bwapp/files/latest/download (2)安装步骤: 下载后解压文件,将文件放在WWW目录下 在admin/settings.php下更改数据库连接设置 username和password设置成自己数据库的用户名和密码 3. 运行PHPStudy,然后在浏览器打开http://127.0.0.1/bWAPP/install.php
Web Hacking 101 中文版 五、HTML 注入
热门推荐
龙哥盟
03-17 4万+
五、HTML 注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述超文本标记语言(HTML注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注入漏洞是由接收 HTML 引起的,通常通过一些之后会呈现在页面的表单输入。 这个
bWAPP靶场安装
最新发布
CheatMyself的博客
07-03 445
打开:D:\ProgramFiles\phpstudy_pro\WWW\bWAPP-master\app\admin下的settings.php,的数据库账号密码。百度网盘地址:链接:https://pan.baidu.com/s/1Y-LvHxyW7SozGFtHoc9PKA。链接:https://pan.baidu.com/s/1pr9v0_p6mgChvWcIx1dn7g。git地址:https://github.com/raesene/bWAPP。–来自百度网盘超级会员V5的分享。
html注入的入门教程
weixin_34364071的博客
07-08 391
HTML injection的背景: 1 现在的XSS就是跨站脚本***一般都是在有服务器交互的情况下在客户端产生的一些问题,那么在没有服务器交互的情况下呢? 2 另外就是很多人都认为html文件是绝对安全的,那么真的是这样么? 什么是HTML injection: 有交互才会产生漏洞,无论交互是怎么进行的,HTML文件并不是像大家想的那样没有任何交互,在HTML...
bWAPP----HTML Injection - Reflected (URL)
weixin_30838873的博客
07-11 660
HTML Injection - Reflected (URL) 核心代码 1 <div id="main"> 2 3 <h1>HTML Injection - Reflected (URL)</h1> 4 5 <?php echo "<p align=\"left\">Your cu...
html注入
公众号shadow sock7
06-10 2115
跨站脚本攻击(XSS)可以更概括地描述为 HTML 注入。XSS 这个更为流行的名字掩盖 了如下事实:成功的攻击不需要跨站点或跨域,而且并非必须由 JavaScript 组成。
Web渗透(二)HTML注入知识整理
weixin_39157582的博客
08-23 6031
HTML注入知识整理1、什么是HTML注入2、HTML注入类型3、漏洞挖掘4、修复建议 1、什么是HTML注入 HTML注入有时也被称为虚拟污染。这实际是一个由站点造成的攻击,该站点允许恶意用户向其Web页面注入HTML,并且没有合理处理用户输入。换句话说,HTML注入漏洞是由网站接收HTML引起的,一般出现在网站页面的表单输入。 由于HTML是用于定义网页结构的语言,如果攻击者可以注入HTML,它们基本上可以改变浏览器呈现的内容。有时,这可能会导致页面外观的完全改变,或在其他情况下,创建表单来欺骗用户。例
bWAPP漏洞测试环境.rar
04-06
bWAPP,全称为"Black Box Web Application Penetration Testing Framework",是一款用于安全专业人士和学生进行Web应用漏洞测试的开源工具。它包含了多种常见的Web安全漏洞示例,旨在帮助用户了解并学习如何发现和...
Web渗透靶场收集
Internet_xx的博客
07-04 1578
标题Web渗透漏洞靶场收集 “如果你想搞懂一个漏洞,比较好的方法是:你可以自己先用代码编写出这个漏洞,然后再利用它,最后再修复它”。—-摘自pikachu漏洞靶场的一句话。 初学的时候玩靶场会很有意思,可以练习各种思路和技巧,用来检测扫描器的效果也是很好的选择。 今天,我们来数数那些入门Web安全必不可错过的靶场。 1、vulnweb AWVS的测试站点,用于扫描效果验证,提供了多场景的公网靶场,也常作为漏洞利用演示的目标。 漏洞测试网站: http://vulnweb.com 2、DVWA Web安全入门
防止html脚本注入的脚本
04-17
NULL 博文链接:https://username2.iteye.com/blog/1826071
bwapp通关html之后sql注入之前
h0ld1rs的博客
08-13 302
文章目录iFrame InjectionlowmediumLDAPMail Header InjectionlowmediumhighOS Command Injection - BlindPHP Code Injectionlowmedium high iFrame Injection iframe是可用于在HTML页面中嵌入一些文件(如文档,视频等)的一项技术。对iframe最简单的解释就是“iframe是一个可以在当前页面中显示其它页面内容的技术”。 通过利用iframe标签对网站页面进行注入,是利
web渗透--55--HTML注入
武天旭的博客
09-23 3013
1、漏洞描述 HTML注入注入问题的一种类型,它发生在当用户可以控制输入点,并且能够注入任意HTML代码到有漏洞的web页面时。 这个漏洞会造成很多影响,比如用户会话cookie公开,可以被用于冒充受害者,也可以使得让攻击者修改它看到的受害者的页面内容。 当用户输入未经过正确的过滤以及输出没有经过编码的情况下,漏洞就会发生。注入允许攻击者发送恶意HTML页面给受害者。目标浏览器无法区分和信任合法代码的恶意部分,并在受害者背景下解析和执行所有的合法代码。
HTML注入的一种攻击思路(超链接替换为点击验证,现在常见)
墨痕诉清风的博客
03-08 932
当然以上情况都是建立在可以插入 HTML 标签,且两个可控点之间的 HTML 包含敏感信息且没有单引号(或双引号)阻断。其实如果可控点只有一个的话,那就需要找找页面里面有没有 '> 或者 "> ,这样就可以只用一个点来触发。最后我总结出几种利用的 payload 供参考学习。
html页面注入教程,html注入的入门教程
weixin_35941591的博客
06-03 1561
HTML injection的背景:1 现在的XSS就是跨站脚本***一般都是在有服务器交互的情况下在客户端产生的一些问题,那么在没有服务器交互的情况下呢?2 另外就是很多人都认为html文件是绝对安全的,那么真的是这样么?什么是HTML injection:有交互才会产生漏洞,无论交互是怎么进行的,HTML文件并不是像大家想的那样没有任何交互,在HTML文件里还是会用到一些javascrip...
HTML注入
donghaima的专栏
04-02 1634
默认地,ASP.NET 1.1和2.0请求验证会对送至服务器的数据检测是否含有HTML标记元素和保留字符.这可以防止用户向程序中输入脚本.请求验证会对照一个有潜在威胁的字符串列表进行匹配,如果发现异常它会抛出一个HttpRequestValidationException类型的异常.你可以在你的web.config文件中的元素中加入validateRequest="false" 或在单独的页面的@
HTML字符串注入HTML
CSS 初学者指南
06-28 395
假设您有一些HTML字符串: let string_of_html = ` <div>Cool</div> `; 也许它来自API,或者您是根据模板文字或其他内容自行构建的。 您可以使用innerHTML将其放入元素中,例如: document.body.innerHTML = string_of_html; // Append it instead d...
HTML静态注入技术
weixin_33836874的博客
11-23 1804
在去年12月24日那天中午,疯狗兄弟跟我说过关于HTML静态注入技术,第2天,也就是圣诞节那天,他做拉份动画。[HTML注入之入侵IT168,网易动画]。动画基本是讲解HTML静态注入的原理,做的很简单,我一直想具体再做一份,可是一直很忙,没时间做。前几天,1月3号,在黑鹰上见有人做[注入HTM音乐网--黑鹰原创]我看拉下,基本是类似的技术...
bwapp web渗透测试:论坛漏洞分析与利用实战
"E049-论坛漏洞分析及利用-针对bwapp进行web渗透测试的探索" 本课程主要探讨了论坛漏洞分析及其利用,特别针对一个名为bwapp的Web应用进行渗透测试。bwapp(BeeWAPPPentesting Application)是一个用于网络安全教育...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值