网安系列:第27天:WEB漏洞XSS跨站代码及httponly绕过

于 2024-05-16 12:37:42 发布
阅读量58 收藏
点赞数
分类专栏: 网络安全 文章标签: 前端 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54626591/article/details/138956437
版权
网络安全 专栏收录该内容
175 篇文章 4 订阅 ¥299.90 ¥399.90
订阅专栏
本文介绍了XSS跨站代码攻击,重点讲解了HttpOnly属性如何防止JS读取cookie,以及在Xsslabs平台中如何通过不同级别测试实现HttpOnly过滤的绕过。通过实例展示了在不同level中利用HTML事件属性、关键词替换等方法来规避防护机制。
摘要由CSDN通过智能技术生成

目录

在这里插入图片描述

1. 前言

什么是 HttpOnly:
如果您在 cookie 中设置了 HttpOnly 属性,那么通过 js 脚本将无法读取到 cookie 信息,这样能有效的防止 XSS攻击,具体一点的介绍请 google 进行搜索

可以防止XSS攻击(手法),不意味着防止跨站攻击的漏洞,跨站语句仍旧可以执行

代码类过滤:Xsslabs
HttpOnly 属性

了解本专栏 订阅专栏 解锁全文
坦笑&&life
关注
专栏目录
订阅专栏
【网络安全】XSS绕过HttpOnly实现帐户接管
等风来
05-29 917
fetch 方法是JavaScript中用于发起网络请求的现代 API,实现从网络中获取资源(如文本、JSON、Blob 等)。url 是要发送请求的 URL,而 options 则是一个包含各种配置选项的对象,例如请求方法、请求头、身份验证信息等。fetch 方法返回一个 Promise,该 Promise 在收到响应后会解析为 Response 对象。通过对 Response 对象执行方法和访问属性,可以获取响应的状态、头信息和内容。
27WEB漏洞~XSS跨站~代码httponly绕过
廖一语山的博客
09-12 1796
来自小迪的培训视频笔记
网络:XSSHttpOnly
五山口老法师
03-28 1327
1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性...
跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
小王的技术库
11-08 1452
XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往 HTML 文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是 XSS 这个名字却一直保留至今。
HttpOnly 标志–保护 Cookies 免受 XSS 攻击
liuqinhou的博客
06-06 1898
1.什么是HttpOnly?如果您在cookie中设置了HttpOnly属性,那么通过将无法读取到cookie信息,只能通过http方式获取cookie。如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码(通常是XSS)将数据发送到攻击者的网站来使攻击失败。跨站点脚本(XSS)攻击通常旨在窃取会话Cookie。
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSSXSS靶场9道题目、如何防御XSS。希望您喜欢~
2021Web安全面试题大全(附答案详解)看完稳了
m0_59991869的博客
10-13 1万+
人人都有一个进大厂的梦想,而进大厂的门槛也可想而知,所以这里整理了一份安全大厂的面试大全,看完文章如果对你有帮助的话希望能够点赞+收藏+关注!感谢! 本篇文章对于学习Web安全的朋友来说应该是目前最全面的面试题合集了,后续也会陆续更新其他大厂的面试题目和知识点。另外我还整理了许多关于Web安全的学习资料+工具包等等,需要的点击Web安全学习 一、渗透测试面试题,包含大量渗透技巧 1.拿到一个待检测的站,你觉得应该先做什么? a、信息收集 1、获取域名的whois信息,获取注册者邮箱姓名电话等,丢
Web安全攻防入门系列 | 跨站脚本攻击和防范技巧 | 只看这一篇文章就够了
QL_2023的博客
04-17 901
跨站脚本攻击(XSS)是客户端安全的头号大敌,OWASP TOP 10多次把xss列在榜首。
【Network Security!】Web安全学习及异或解密示例
李响
02-22 1032
文章目录一.工具&术语1.网安术语2.常用工具3.推荐文章二.常见攻击1.SQL注入2.XSS跨站3.越权漏洞三.音乐异或解密示例 一.工具&术语 1.网安术语 常见安全网站及论坛: 看雪(https://bbs.pediy.com/) 安全客(https://www.anquanke.com) freebuf(https://www.freebuf.com/) 安全牛(http...
漏洞二】Apache HTTP Server "httpOnly" Cookie信息泄露漏洞
weixin_30955341的博客
09-11 1868
漏洞】 Apache HTTP Server "httpOnly" Cookie信息泄露漏洞 【原因】 服务器问题 Apache HTTP Server在对状态代码400的默认错误响应的实现上存在Cookie信息泄露漏洞,成功利用后可允许攻击者获取敏感信息。 【解决】 升级到 Apache Httpd 2.2.22 或更高版本。update the apache...
WEB漏洞-XSS跨站代码绕过httpOnly绕过
硫酸超的博客
08-16 4991
什么是HttpOnly? 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请google进行搜索。 介绍 PHP设置COOKIE的HttpOnly属性 作用:仅仅是防止通过js脚本读取到cookie信息 虽然设置了httponly之后拿不到cookie,但是还是存在xss跨站语句,阻止的仅仅是获取cookie 对方开启HttpOnly你在盗取cookie失败的情况下可以采用其他方案 登陆后台权限方式 1.以cooki
超详细的cookie属性HttpOnly和SameSite引起的漏洞解决方案
dhklsl的专栏
08-19 1万+
解决漏扫cookie漏洞:Cookie No HttpOnly Flag和Cookie Without SameSite Attribute。设置cookie的httponly和samesite属性。
XSS攻击之HttpOnly绕过
weixin_42478365的博客
05-10 5433
HttpOnly绕过: HtpOnly是Cokioe的一个安全属性, 设置后则可以在xSS漏洞发生时避免Jsese读取 到Cookie,但即使设置了HtpOnly属性,也仍有方法获取到Cokie值。 如 (1) CVE-2012-0053 Apache服务器2.0-2.2版本存在个漏洞 CE-2012-0053:攻击者可通过向网站植人超大的Cookie,令其HTTP头超过Apache的LititRequestFieldSize (最大请求长度,4192字节),使得Apache返回400错误,状态页中包含了H
会话cookie中缺少HttpOnly属性漏洞--分析解决
热门推荐
小元子子的博客
06-28 1万+
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
27-WEB 漏洞-XSS 跨站代码httponly 绕过
MCTSOG的博客
03-12 1126
代码类过滤:Xsslabs HttpOnly 属性过滤防读取 绕过 httponly: 浏览器未保存帐号密码:需要 xss 产生登录地址(漏洞产生在登录界面),利用表单劫持 浏览器保存帐号密码:浏览器读取帐号密码 知识补充 参考文章: 利用HTTP-only Cookie缓解XSS之痛 什么是HttpOnly - OSCHINA - 中文开源技术交流社区 XSS与HTTP-only Cookie简介 为了缓解跨站点脚本攻击带来的信息泄露风险,Internet Explorer 6 SP1为Cookie引.
Cookie属性HttpOnly引起的漏洞解决方案
最新发布
Sveinn的博客
03-06 457
项目扫描的时候出一个漏洞,Cookie未配置HttpOnly标志。那HttpOnly是什么呢?Httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。在web应用中、JSESSIONID (Cookie)没有设置Httponly属性可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。这里我是写一个拦截器,实现GlobalFilter,我们可以在拦截器中向Cookie中添加HttpOnly属性。
xss跨站代码及http only绕过
san3144393495的博客
05-26 1886
如何绕过http only,他只是防止cookie被读取,并不防止跨站漏洞,我想要获取后台的权限,有两种方法可以获取后台权限,一种是cookie,另一种是直接的账户密码登陆,因为http only限制了cookie的获取只能用账户密码去登陆,账户密码有些个人习惯,会把账户密码进行个保存,避免下次忘了密码,有一些浏览器会自动保存,如果对方设置了保存或者浏览器自动保存账户密码,我们是可以利用xss去读取账户免密的。有两种情况,一种是保存读取,就是输入账号浏览器会自动补齐免密就是保存读取,比如qq的保存密码。
2021/12/7 HttpOnly绕过xss-labs
weixin_44532761的博客
12-09 639
小迪 涉及资源及参考 https://www.bilibili.com/video/BV1JZ4y1c7ro?p=26&spm_id_from=pageDriver cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,但是并不能防止xss漏洞只能是防止cookie被盗取。 ...
XSS攻击:跨站脚本漏洞实例解析
XSS_跨站代码大全” XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上注入恶意脚本。这些脚本可以劫持用户会话、盗取敏感信息或者执行其他恶意操作。下面将详细解释几种常见的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坦笑&&life

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值