框架注入的学习

最新推荐文章于 2024-06-15 16:41:28 发布
最新推荐文章于 2024-06-15 16:41:28 发布
阅读量4.2k 收藏 3
点赞数
分类专栏: web安全 文章标签: 框架注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ws13129/article/details/89304075
版权

框架注入

1、漏洞描述:
一个框架注入攻击是一个所有基于GUI的浏览器攻击,它包括任何代码如JavaScript、VBScript(ActivX)、Flash、AJAX(html+js+py)。代码被注入是由于脚本没有对它们正确验证,攻击者有可能注入含有恶意内容的frame或iframe标记。“链接注入”是修改站点内容的行为,其方式为将外部站点的URL嵌入其中,或将有易受攻击的站点中的脚本的URL嵌入其中。将URL嵌入易受攻击的站点中,攻击者便能够以它为平台来启动对其他站点的攻击,以及攻击这个易受攻击的站点本身。
2、检测条件 :
被测网站具有交互功能模块,涉及到参数get和post提交等等
3、检测 :
存在xss的地方很有可能存在此漏洞,笔者感觉手工很难检查,需要借助工具测试(ps笔者第一次遇到)
4、实战 :
url:http://url/
post:power=1"/></iframe></script></style></title></textarea><iframe src=http://127.0.0.1>闭合前面并插入一个iframe标签,即可展示127.0.0.1的内容
在这里插入图片描述
hello world即为笔者127.0.0.1的内容
5、个人想法:
应该是作为xss的辅助,钓鱼等。
6、修复:
类似于xss修复。过滤特殊字符,用户的一切输入都是有害的

借鉴:https://blog.csdn.net/wutianxu123/article/details/82724909
如有不对,欢迎指正
cxk331
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
框架注入漏洞
conkeyn的专栏
02-27 5544
  2 详细描述 攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。如果用户不够谨慎,就有可能浏览该标记,却意识不到自己会离开原始站点而进入恶意的站点。之后,攻击者便可以诱导用户再次登录,然后获取其登录凭证。 解决办法 建议过滤出所有以下字符: [1] |(竖线符号) [2] &amp; (&amp; 符号) [3];(分号) [4] $(美元符号...
浅谈“链接或框架注入
→_→
05-14 2665
漏洞名称: 框架注入、链接注入 描述: 一个框架注入攻击是一个所有基于GUI的浏览器攻击,它包括任何代码如JavaScript,VBScript(ActivX),Flash,AJAX(html+js+py)。代码被注入是由于脚本没有对它们正确验证,攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。 “链接注入”是修改站点内容的行为,其方式为将外部站点的 URL 嵌入其中,或将有易受攻击的站点中的脚本 的 URL 嵌入其中。将 URL 嵌入易受攻击的站点中,攻击者便能够以它为
漏洞盒子/细数Django框架核心历史SQL注入漏洞(上)_详细信息安全笔记
最新发布
程序员三九的博客
06-15 667
0x02 CVE-2019-14234漏洞描述Django 在2019年发布的一个安全更新
一文详解SpEL表达式注入漏洞
华为云官方博客
02-21 962
本文介绍了SpEL表达式以及常见的SpEL注入攻击,详细地介绍了部分漏洞攻击实例以及常用的漏洞检测与防御手段。
SpringBoot框架SpEL表达式注入漏洞复现与原理分析
二狗的博客
02-13 921
这是2016年的一个洞,利用条件是至少知道一个触发 springboot 默认错误页面的接口及参数名。影响版本:1.1.0-1.1.12 1.2.0-1.2.7 1.3.0修复方案:升级版本对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
iframe框架注入
voctor2436的博客
05-16 773
一般性的建议:过滤客户端提交的危险字符,客户端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等,其中危险字符如下:[1] |[2] &[3];XmlAttributeEncode:将在XML属性中使用的输入字符串编码 escape:函数可对字符串进行编码 decodeURIComponent:返回统一资源标识符的一个已编码组件的非编码形式。[2]使用命名框架,但在每个会话中使用不同的框架,并且使用无法预测的名称。
iframe嵌套其它网站页面及相关知识点详解
热门推荐
Quentin0823的博客
01-31 2万+
在一个页面中嵌套另外一个页面,就要使用到框架 标签。 标签规定一个内联框架。一个内联框架被用来在当前 HTML 文档中嵌入另一个文档。
aurora框架学习文档
04-24
总的来说,Aurora框架学习是一个涉及多方面技能的过程,不仅需要掌握基础的编程语言,还需要理解企业级应用开发的最佳实践。通过深入学习和实践,你可以有效地利用Aurora框架构建高效、稳定的企业应用。
SSM框架学习
08-31
Spring是一个全面的企业级应用开发框架,核心特性是依赖注入(Dependency Injection,DI)和面向切面编程(Aspect-Oriented Programming,AOP)。DI允许开发者通过容器来管理对象及其依赖关系,减少代码间的耦合。...
ssm框架学习.zip
11-03
这个"ssm框架学习.zip"压缩包很显然是为了帮助开发者或者初学者系统地理解和学习这三个框架的集成与应用。 首先,让我们逐一解析每个框架的核心概念: 1. **Spring**:Spring是一个全面的后端应用程序开发框架,它...
轻量级框架Spring学习笔记
01-25
Spring框架是Java开发中广泛应用的一个轻量级框架,它的核心特性包括依赖注入(Dependency Injection,简称DI)和控制反转(Inversion of Control,简称IOC)。本文将深入探讨这些概念以及Spring框架的其他重要模块...
Javascript框架学习
08-10
本教程将深入探讨JavaScript框架学习,特别是针对初学者和有一定经验的开发者,旨在提升你的开发技能和效率。 首先,JavaScript框架如React、Angular和Vue.js已经成为了前端开发的标准。这些框架提供了一种组织...
每个 Web 开发人员都应该知道的 4 个 iframe 安全问题
javagty6778的博客
02-04 2755
iframe 能提高用户的互动性。但是,当你使用 iframe 的时候,你处理的内容是来自于你无法控制的第三方。因此,iframe 经常会对你的应用程序造成威胁。然而,我们不能因为安全顾虑就停止使用 iframe。我们需要意识到这些问题并采取防范措施来保护我们的应用程序。我认为这篇文章能帮你识别使用 iframe 的安全问题。在下方评论区让我知道你的看法。如果发现译文存在错误或其他需要改进的地方,欢迎到掘金翻译计划对译文进行修改并 PR,也可获得相应奖励积分。文章开头的本文永久链接。
链接或框架注入漏洞原理以及修复方法
it知识分享 free for nothing..
02-02 1252
链接或框架注入漏洞原理以及修复方法
iframe注入和非法重定向
m0_48520508的博客
07-16 1881
iFrame注入是一种非常常见的跨站点脚本(或XSS)攻击。它由一个或多个iFrame标签组成,这些标签已插入页面或帖子的内容中,并且通常会下载可执行程序或执行其他危害网站访问者计算机的操作。在最佳情况下,Google可能将网站标记为“恶意”。最坏的情况是网站所有者和访问者最终都感染了恶意软件。 (1)iFram注入,当易受攻击的网页上的框架通过用户可控制的输入显示另一个网页时发生。 GET/search.jsp?query=%3Ciframe%20src=%22https://google.com/?%2
漏洞验证的流程与规范
zzxl212333的博客
04-06 1740
漏洞名称 ·存在漏洞的URL ·扫描报告中的加固方案。·漏洞评级 证明过程步骤截图 ·漏洞信息检索获取到的加固方案。1.漏洞相关信息 2.漏洞证明 3.加固方案。
框架篇】对象注入的三种实现方式
小杨的博客
07-15 2989
本文核心重点: 1,三种对象注入的实现方式以及优缺点? 2,@Autowired 和 @Resource 注入注解的区别? 3,同⼀类型多个 @Bean 报错的解决方案有哪些?
web渗透--31--ORM注入
武天旭的博客
09-16 7021
1、ORM注入概述 ORM 是对象关系映射(Object Relational Mapping)的缩写。是写程序时的一种写法,以前写程序查数据库的时候都是代码加 sql 语句写到一起,程序庞大后就很难管理维护。后来就把程序和 sql 语句分开了。同时 ORM 把 sql 的写法进行了封装,程序调用更为方便,能让程序员真正的去关注逻辑层代码,去面向对象编程。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值