在开始这篇博客之前,本人需提前声明一下。本篇博客用于记录本人的安全练习过程。对许多知识点的理解还存在许多的误区,并不建议用作专业博文阅读,仅起到分享和借鉴作用。
什么是XSS攻击:
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
这在前面的博客有过提及。如果不明确的可以自行百度相关信息。因为本篇博客的内容是建立在明白XSS内容前提上的。所以请选择性阅读。
某输入端口
直接上原码
可以在原码中看见
构造相应的payload
原码
href做输出如果仅仅只是用超文本特殊字符函数是没有实际意义的,所以要制定如因为href中写的是url,所以要做的是只允许输入带如含有http或https开头的url,否则无法输入的规则,之后再做htmlspecialchars()将特殊符号处理掉
页面原码
构造payload
复制粘贴
提交后执行
可见,在XSS防范当中,仅仅通过超文本标记语言特殊字符函数来做简单的处理是不行的,对于不同的输出点,需要不同的防腐和措施。
XSS常见防范措施
最新推荐文章于 2024-09-03 16:53:34 发布