2021-07-29

最新推荐文章于 2021-12-29 10:40:28 发布
最新推荐文章于 2021-12-29 10:40:28 发布
阅读量259 收藏
点赞数
分类专栏: 渗透测试 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44695144/article/details/119213736
版权

记一次某网站后台的存在XSS漏洞

发现某网站后台管理系统某功能点存在存储型XSS漏洞。
首先登陆网站后台
在这里插入图片描述
点击新增
在这里插入图片描述这里我将JavaScript代码插入到了类型框中,其他的随便填写,然后保存数据。
保存数据后,成功弹框。
在这里插入图片描述
测试一下是不是存储型XSS漏洞,我们只要刷新页面,查看是否有弹框即可。
刷新页面后发现,弹框存在。说明是存储型XSS漏洞。代码被写到了数据库中。
这里我们可以将JavaScript代码修改成盗取对方cookie信息或者其他的,只要用户访问,就可以盗取其cookie信息。
写的不是很好,只是记录一下学习成果。大家一起共同进步。

Oldto
关注
专栏目录
JFinal-layuiv1.4.2 来袭,XSS,CSRF防御,程序器
hdx柿子的博客
04-02 730
感谢参考原文-http://bjbsair.com/2020-04-01/tech-info/18436.html 前言 JFinal-layui 极速开发企业应用管理系统,是以 JFinal+layui 为核心的企业应用项目架构,利用 JFinal 的特性与 layui 完美结合,达到快速启动项目的目的。让开发更简单高效,即使你不会前端layui,也能轻松掌握使用。 JFinal-layui v...
基于StringBoot2.2+Layui轻量级的权限管理系统,彻底杜绝XSS攻击
Java码农那些事
08-19 644
项目介绍 基于StringBoot2.2+Layui+Mybatis+Mybatis-Plus开发的一套轻量级的权限管理系统,开箱即用。 提供了代码生成器,可快速完成开发任务 完善的XSS防范及脚本过滤,彻底杜绝XSS攻击 支持MySQL、Oracle、SQL Server等主流数据库 技术选型 核心框架:Spring Boot 2.2.5 安全框架:Spring Security 5.2.2 视图框架:Spring MVC 5.2.4 持久层框架:MyBatis 2.1.2 MyBatis
XSS 攻击
冷静
05-28 1369
作为一个合格的 Web 开发工程师,必须遵循一个安全原则: 永远不要信任用户提交的数据。 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 一种比较常见的 XSS 攻击是 Cookie 窃取...
Laravel 项目的 XSS 攻击解决方案
Mr_Lewis的博客
01-09 3311
一、XSS概述 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 一种比较常见的 XSS 攻击是 Cookie 窃取。我们都知道网站是通过 Cookie 来辨别用户身份的,一旦恶意攻击者能在页面中执行...
xss防御方法base64_【开源资讯】JFinal-layui v1.4.2 来袭,XSS、CSRF防御、代码器
weixin_39557402的博客
11-26 307
前言JFinal-layui 极速开发企业应用管理系统,是以 JFinal+layui 为核心的企业应用项目架构,利用 JFinal 的特性与 layui 完美结合,达到快速启动项目的目的。让开发更简单高效,即使你不会前端layui,也能轻松掌握使用。 JFinal-layui v1.4.2 新增XSS、CSRF防御和代码生成器,加强web安全和提升开发效率!在工作中发现,一些公司在给客户开发系统...
[风一样的创作]防XSS注入攻击
fyydrs的博客
12-29 1763
一.首先大概理解下什么是XSS注入攻击 XSS注入攻击本质上就是通过你服务本身的接口把一些HTML,CSS,JS,SQL语句等内容存储进你的服务里面,一般是数据库里面,这时候就可以通过这些存储进去的内容拿取到一些你的数据库隐藏内容或者破坏你的页面排版,比如乱弹窗。 二.解决的方法 首先声明,解决方案不止这一种,这只是最简单的一种 1.使用拦截器拦截所有请求,一定要在最顶层 import org.springframework.boot.web.servlet.ServletComponentScan; im
layui table设置前台过滤转义等方法
10-18
今天小编就为大家分享一篇layui table设置前台过滤转义等方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
雪球行情-双机房-2021-07-29.key
08-17
雪球行情-双机房-2021-07-29.key
log-aggregated-2021-07-28-080657.ips
07-28
log-aggregated-2021-07-28-080657.ips
gtk3-runtime-3.24.29-2021-04-29-ts-win64.exe
07-10
gtk3-runtime-3.24.29-2021-04-29-ts-win64.exe
layuimini-2_layui_后台管理模板_layuimini_
09-30
layuimini基于layui的轻量级前端后台管理框架
车控操作系统总体技术要求研究报告[2021-07-29](74页).pdf
05-20
《车控操作系统总体技术要求研究报告》是汽标委智能网联汽车分标委资源管理与信息服务标准工作组在2021年7月发布的一份详细报告,旨在规范和指导车控操作系统的研发与应用。报告内容涵盖了术语定义、研究背景、系统...
layui踩坑记录
淹死的鱼
05-15 4083
1、常见问题:http://fly.layui.com/jie/5366.html 2、layui是预先渲染,如果更改渲染需要form.render();(仅限form表单)
xss防注入使用插件(vue项目中)
Eric_web的博客
04-16 1556
用了这个插件:https://jsxss.com/zh/index.html github地址:https://github.com/leizongmin/js-xss import axios from ‘axios’ import store from ‘@/store/index’ import md5 from ‘md5’ import xss from ‘xss’ import { _encryptPhone, isEmojiStr } from ‘./common’ import loadMa
xss漏洞完美解决方法
f0rd_的博客
09-07 1万+
 搞什么安全漏洞检查,在加个防止恶意弹窗的吧 package com.wh.tms.xss; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends ...
layui踩过的坑 layer.tips
小丑鱼家的猪猪
01-29 3199
####改变layer里面的样式,找了很多资料,效果都不太理想,最终,想到了这个办法,代码如下 layer.tips( "<span style='color:#000000;word-wrap:break-word'>"+$(this).attr('content')+"</span>" , $(this),{ tips: [1,'#eee'], time: ...
XSS(跨站脚本攻击)详解
热门推荐
谢公子的博客
09-08 7万+
目录 XSS的原理和分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSSXSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS的原理和分类 跨站脚本攻击XSS(Cros...
java生成租金计划 需求:根据下面的条件生成每个月的月租金计划列表 递增周期:1年 租金递增率:6% 租赁开始时间 2021-03-01 租赁结束时间 2022-03-01 免租开始时间:2021-03-01 免租结束时间:2021-03-31 开始月租金:600 递增周期的时间是从租赁开始时间计算。
最新发布
05-26
2021-07-01 31 713.57 2021-08-01 31 754.29 2021-09-01 30 796.39 2021-10-01 31 840.94 2021-11-01 30 887.02 2021-12-01 31 934.72 2022-01-01 31 984.12 2022-02-01 28 1035.30 ``` 可以看到,程序正确...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值