10 xss攻击

最新推荐文章于 2023-02-04 15:15:50 发布
最新推荐文章于 2023-02-04 15:15:50 发布
阅读量126 收藏
点赞数
分类专栏: java杂谈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39563769/article/details/106988770
版权

  1. 什么是XSS攻击?
    XSS(Cross Site Scripting)攻击全称跨站脚本攻击.
    通俗的来说就是我们的页面在加载并且渲染绘制的过程中,如果加载并执行了意料之外的程序或代码(脚本、样式),就可以认为是受到了 XSS攻击.
    多发生于前段脚本注入

  2. XSS攻击的危害包括
    1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
    2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
    3、盗窃企业重要的具有商业价值的资料
    4、非法转账
    5、强制发送电子邮件
    6、网站挂马
    7、控制受害者机器向其它网站发起攻击

  3. xss模拟钓鱼网站:
    新建了一个京东的网站。
    利用script脚本,在用户访问京东的时候,在script的脚本中使用location=""xxx.xxx.com;链接到钓鱼网站,从而获取到用户的username以及password等。

  4. 解决方案:
    a. 新建过滤器,过滤所有的请求
    b.将脚本的标签进行处理

    public class XssFiter implements Filter {

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
    throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) request;
    XssAndSqlHttpServletRequestWrapper xssRequestWrapper = new XssAndSqlHttpServletRequestWrapper(req);
    chain.doFilter(xssRequestWrapper, response);
    }

    public void destroy() {

    }

}

XssAndSqlHttpServletRequestWrapper

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.lang3.StringEscapeUtils;
import org.apache.commons.lang3.StringUtils;

/**

  • 防止XSS攻击
    */
    public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {
    HttpServletRequest request;
    public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
    super(request);
    this.request = request;
    }
    @Override
    public String getParameter(String name) {
    String value = request.getParameter(name);
    System.out.println(“name:” + name + “,” + value);
    if (!StringUtils.isEmpty(value)) {
    // 转换Html
    value = StringEscapeUtils.escapeHtml4(value);
    }
    return value;
    }
    }
水无痕simon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss挑战1-10
Marsper的博客
11-03 440
level1 没有任何过滤,直接URL后面加XSS测试语句 <script>alert('123')</script>; 弹窗 <script>alert('123')</script>; level2 有搜索框,像第一关一样在搜索框测试一下,但是没有像第一关一样弹窗 查看源码发现我们的XSS语句被赋值给value并且在input标签里,所以我们需要闭合value和input标签就可以正常弹窗了 1"><script>alert('1
87.网络安全渗透测试—[常规漏洞挖掘与利用篇3]—[xss测试-10种绕过技巧]
qwsn
01-26 4857
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss测试-10种绕过技巧 1、大小写绕过:`script标签一次匹配` 2、复写绕过(属性多余):`script大小写标签一次匹配` 3、转换标签绕过:`sciprt标签禁用` 4、转换方法绕过:alert方法禁用 5、手工闭合绕过:`既定的script标签` 6、手工闭合+单引号绕过:既定的scirpt标签+htmllentities默认参数 7、dom输出+hash属性+substring方法-弹窗: 8、ph
XSS-Game level 10
wangyuxiang946的博客
07-08 1万+
xssgame10XSS-Game第十关过滤了尖括号 > < , 并且隐藏了输入框 , 使用事件绕过,并使输入框取消隐藏
XSS-10注入靶场闯关(小游戏)——第十关
qq_39330735的博客
02-04 345
XSS-game-10隐藏入口注入,需要在源代码查找到入口的html标签,然后修改对应的属性让其显示出来。然后再注入payload
xss-labs 10到20关
h0ld1rs的博客
07-23 879
xss-labs 11--20关第11关第12关第13关第14关第15关第16关第17关第18关第19关第20关 第11关 在网页中查看源代码并没有获得有效信息 于是我选择查看php源代码 发现这一关多出来这个,但这个又被str_replace函数处理 而HTTP_REFERER是获取http请求头中的Referer字段, 就是我们上一级网页的url, 那么我们就需要使用到抓包工具进行抓包,修改Referer字段。 但是好几次,我抓包的时候都没有refer这个选项 最后找到的方法是,在第十关转换到第十
XSS攻击详解
热门推荐
weixin_47450807的博客
03-01 3万+
本篇博客主要总结一下什么是XSS攻击,并且如何防范XSS攻击。 一、什么是XSS攻击 XSS攻击中文名称为:跨站脚本攻击,XSS的重点不在于跨站,而在于脚本的攻击。 XSS攻击的工作原理:攻击者会在web页面中插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌套在该页面的代码就会执行,因此会达到攻击用户的目的。 XSS的分类:XSS攻击最主要分为如下几类,反射型,存储型,DOM-based型。反射型和DOM-based型可以归类于非持久性XSS攻击。存储型可以归类于持久性XSS攻击。 二、反射型
PHP防范XSS攻击
IT部落格
03-03 2750
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS:攻击者通过构造恶意链接,诱使用户点击...
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
XSS攻击实例1
01-11
在本实例"XSS攻击实例1"中,我们将探讨这种攻击的原理、类型以及如何在Asp.net框架下预防。 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过诱使用户点击含有恶意参数的链接,将脚本插入到...
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
当黑客就入门 XSS-Lab第十关
Tuye的博客
07-21 917
** 第一步:判断是否存在注入漏洞 ** 第二步:尝试i利用该漏洞 ** **
22 HashSet集合特点
weixin_39563769的博客
12-18 1914
hashset特点: (1)HashSet底层数据结构是hash表 (2)对集合的迭代顺序不做保证,不能保证取出的顺序和存入的顺序一致。 (3)没有带索引的方法,所以不能使用普通的for循环遍历. (4)不包含重复元素 HashSet是如何保证元素的唯一性的? 在add元素的时候,就可以确保排序重复元素,根本就不会把相同的元素add进集合中去. public boolean add(E e) { return map.put(e, PRESENT)==null; } a..
39 字节缓冲流复制视频
weixin_39563769的博客
12-23 1244
public static void main(String[] args) throws Exception{ BufferedInputStream bis = new BufferedInputStream(new FileInputStream("D:\\wjh\\紫.mp4")); BufferedOutputStream bos = new BufferedOutputStream(new FileOutputStream("D:\\wjh\\紫2.mp4"));
23 数据结构之哈希表
weixin_39563769的博客
12-18 938
哈希表: jdk1.8之前,底层采用的是 数组+链表实现,可以说是一个元素为链表的数组 jdk1.8之后,在长度比较长的时候,底层实现了优化. 示例:将以下元素放入hashset中 (1)hashset集合的默认长度是16,因此底层数组长度为16. (2)将需要存储的元素对 %16 等到存储的下标索引. (3)那么此时的元素都存储在下标为2,3的位置上 存储的元素先去比较hash值,如果hash值不一样,则直接将元素进行存储,如果hash值一样,那么则比较内容,内容一样,则不会存储进链表上. ...
5. http与https区别
weixin_39563769的博客
06-26 753
两者之间最大的区别在于: https采用的是ssl + 证书 。 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协.
38 字节缓冲流类 BufferedOutputStream & BufferedInputStream
weixin_39563769的博客
12-23 521
继承自OutputStream 目的是在输出字节数据的时候,减少底层系统的调用.通过加入 字节缓冲区数组 的方式 构造方法: protected OutputStream out; public FilterOutputStream(OutputStream out) { this.out = out; } public BufferedOutputStream(OutputStream out, int size) { super(out); .
14冒泡排序
weixin_39563769的博客
12-13 479
public static void main(String[] args) { int[] arr = {22,12,45,23}; for (int i = 0; i < arr.length; i++) { if(i >= arr.length - 1){ break; }else{ int v1 = arr[i]; int v2 = arr[i+1]; if(v1 > v2){ arr[i] = v2; arr[i+1] = v1; } } } for (int j = 0; j.
xss攻击 beef
最新发布
09-06
XSS攻击是一种跨站脚本攻击,它利用网页应用程序对用户输入的信任来注入恶意的客户端脚本。而beef则是一种用于进行XSS攻击的平台。beef-xss是beef平台的一部分,它允许攻击者在受害者的浏览器中执行恶意代码。 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值