XSS防范措施及href和js输出点的案例演示

最新推荐文章于 2024-03-25 17:22:08 发布
最新推荐文章于 2024-03-25 17:22:08 发布
阅读量399 收藏
点赞数
分类专栏: 网络安全学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43534549/article/details/89736963
版权

在这里插入图片描述
直接查看源码
在这里插入图片描述
如果你输入的是"www.baidu.com",它会提示你:我靠,我真想不到你是这样的一个人,如果你输入的不是百度,它会把你输出的内容用htmlspecialchars去进行处理,同时这里用了"ENT_QUOTES",这就意味着单引号、双引号、左右尖括号及&等特殊符号会被处理,然后会把它输出在a标签的href属性里,那这样是不是就没有问题呢?
我们可以看到:输出在a标签的href属性里面,可以使用javascript协议来执行js,then
写一个playload看下效果
在这里插入图片描述
提交
在这里插入图片描述
查看页面源码
在这里插入图片描述
点一下
在这里插入图片描述
我们刚刚输入的那个alert就被执行了!
那我们再来看看js吧~
在这里插入图片描述
随便输入一个1111,点提交
在这里插入图片描述
查看页面源码
在这里插入图片描述
我们可以看到它的输入点在此处,它会把我们的输入放到js里面出然后再对这个变量进行判断,然后做对应的输出。
如果你的输出不等于0,并且还等于tmac,它会弹一个字符串:tmac确实厉害,看那小眼神…
否则弹一个:无论如何不要放弃心中所爱…
?,那我们来试试叭~
在这里插入图片描述
在这里插入图片描述
然后呢,我们可以去构造一个闭合,输入一个:
在这里插入图片描述
提交显示
在这里插入图片描述

肝肠寸段
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解XSS 和 CSRF简述及预防措施
10-17
主要介绍了XSS 和 CSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
xssjs输出
apple12_12的博客
06-06 686
xssjs输出 当用户的输入被输出在了js中,该怎么绕过呢?今天在搞pikachu的时候遇到了这个问题,还是直接闭合标签< script >标签,再插入自己的代码:
pikachu靶场第十四关——XSS(跨站脚本)之js输出(附代码审计)
最新发布
yzasts的博客
03-25 360
单引号没有被过滤,那么我们只需要将其闭合就行了。
Pikachu xssjs输出
SS_liang的博客
01-09 443
标签里面,就像我们平时的payload:<script>alert(xss)
皮卡丘xss之htmlspecialchars、xsshref输出xssjs输出
Fly_Mojito的博客
05-30 1070
皮卡丘xss之htmlspecialchars、xsshref输出xssjs输出
xss防范措施hrefjs输出案例演示
qq_42764906的博客
04-27 801
后端代码 在 xsshref输出 中 输入 javascript:alert(111) 右键 查看源代码 ctrl+f 搜索alert
xss_talk:我的XSS演讲的幻灯片和演示应用程序
05-22
【标题】"XSS_Talk:深入探讨XSS漏洞与防范策略" 【描述】"XSS_Talk是我针对跨站脚本(XSS)安全问题的一次演讲资料,包括一套详细的幻灯片和一个用于实战演示的易受攻击的PHP应用程序。这个演示旨在帮助观众理解...
PHP和XSS跨站攻击的防范
10-30
PHP和XSS跨站攻击的防范
网络安全原理与应用:反射型XSS攻击演示.pptx
05-16
反射型XSS攻击演示;;反射型XSS攻击演示;反射型XSS攻击演示;反射型XSS攻击演示;反射型XSS攻击演示;反射型XSS攻击演示;反射型XSS攻击演示;反射型XSS攻击演示;反射型XSS攻击演示;反射型XSS攻击演示;反射型XSS攻击演示;...
渗透测试-xss安全防御之href输出js输出
lza20001103的博客
04-24 2876
xss安全防御之href输出js输出
pikachuxss之herf、js输出
Resets_的博客
09-14 1179
pikachu xss之herf输出js输出xss总结
XSS和CSRF
weixin_45922861的博客
12-24 176
XSS 漏洞 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:<持久化> 代...
XSShref输出js输出防范措施
qq_43814486的博客
05-05 8908
防御总的原则:根据实际情况对输入做过滤,对输出做转义 href输出漏洞:输出出现在a标签的href属性里面,可以使用javascript协议来执行js 后端: $message=htmlspecialchars($_GET['message'],ENT_QUOTES); $html.="<a href='{$message}'> 可以看到,虽然对htmlspecialchars()...
2.xss
weixin_41826065的博客
12-07 1354
XSS
xss 笔记
LAngle9的博客
11-09 743
1,xss : 因为和css 冲突,改名字是xss,属于客户端攻击,网站管理员也是用户,攻击者盗取管理员的cookie,靠管理员身份作为“跳板”进行实施攻击。 XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击代码是javascript语言,但也会使用其它的脚本语言 j avascript语言:是跨平台的,在jsp,php,asp,aspx,都可以使用 xss 用的脚本是可以构造的,有两千多种方法,要记者常用的函数就行 script, alert, img src 1.2 XSS漏洞
【web-ctf】ctf-pikachu-XSS
一个努力生活的人的博客
06-27 2376
XSS-pikachu
pikachu--xss
qq_43660551的博客
04-11 375
alert(document.cookie),f12未发现有用信息,右键看下网页源码,发现被过滤了。两个框输入1
Web安全:XSS漏洞的测试(防止 黑客利用此漏洞.)
热门推荐
网络安全领域___专研者.
03-17 1万+
XSS漏洞的概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
请简述一下XSS攻击原理、过程及防范措施
05-18
XSS(Cross-Site Scripting)攻击是一种常见的Web攻击方式,攻击者在目标网站中注入恶意脚本,使得用户在访问该网站时受到攻击。其主要原理是利用Web应用程序对用户输入数据的不完全过滤或验证,将恶意脚本注入到页面中,使得浏览器执行该脚本,从而达到攻击的目的。 XSS攻击的过程主要分为以下三个步骤: 1. 攻击者在目标网站中注入恶意脚本。 2. 用户在访问该网站时,浏览器会自动执行注入的脚本。 3. 恶意脚本会窃取用户的信息、操作用户的账户等。 为了防范XSS攻击,可以采取以下措施: 1. 输入过滤:对用户输入的数据进行过滤和验证,只允许合法的输入。 2. 输出编码:对所有输出到页面的数据进行编码,防止恶意脚本的注入。 3. 使用HttpOnly Cookie:使用HttpOnly Cookie可以防止XSS攻击者窃取用户的Cookie信息。 4. 验证码验证:在关键操作中使用验证码验证,可以有效避免XSS攻击。 5. CSP(Content Security Policy):CSP是一种安全策略,可以指定哪些资源可以被加载,从而防止恶意脚本的注入。 总之,为了保障Web应用程序的安全,我们需要加强对用户输入数据的过滤和验证,以及对输出数据的编码,同时采取更加完善的防范措施,以提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值