XSS攻击经典案例:一个HTML标签引发出微信重大的BUG

最新推荐文章于 2024-09-26 09:18:49 发布
最新推荐文章于 2024-09-26 09:18:49 发布
阅读量3.1k 收藏 2
点赞数 3
分类专栏: web开发资料
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwg2436/article/details/100640743
版权

作为一枚技术公众号运营者,写文章,发文章都是日常操作了,但在一次日常的发文中却意外地发现了微信公众号的重大BUG,这究竟是怎么回事呢?

在9月3日当天,鱼头我发了一篇名为《我的<input />不可能这么可爱》的技术文章,本来以为是常规发文,结果有人给我反馈,当点击留言进入公众号文章留言模块的时候,会有BUG:

我愣了1,2,3秒。。。心想:“咦,不对,这不是把 <input />” 给宣传成dom了吗?

结果有了

然后就在群里说了这事,知道的胖友们都纷纷行动起来去做测试。。。

然后有了以下的测试流程:

  1. 在公众号上发布一篇标题带有 <input onfocus="alert('1')"> 的文章;
  2. 如果标题没有被转义,则用户打开文章之后,在留言界面会发现标题渲染成HTML;
  3. 用户点击输入框则会执行上面的代码。

以下是复现漏洞的视频

最低0.47元/天 解锁文章
xss攻击实例
frinck的博客
10-16 5082
Cross Site Script 攻击者利用应用程序的动态展示数据功能,在 html 页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在 html 中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。 1.分类 ????反射型跨站脚本攻击 攻击者会通过社会工程学手段,发送一个 URL 连接给用户打开,在用户打开页面的同时,浏览器会执行页面中嵌入的恶意脚本。 ✨存储型跨站脚本攻...
新浪微博XSS攻击事件
TERRY的技术日志
06-29 3550
6月28日20时14分左右开始,新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博消息和私信,并自动关注一位名为hellosamy的用户。  事件的经过线索如下:20:14,开始有大量带
信息安全案例分享(六)——跨站脚本攻击
最新发布
ewii12567的博客
09-26 937
某网站由于存在XSS漏洞,在系统管理员没有及时发现的情况下,攻击者通过注入js脚本,导致大量客户信息泄露事件发生。经排查,由于该网站开发人员没有对论坛发文模块的输入进行校验,攻击者利用此漏洞发布恶意代码进而非法获取客户信息。跨网站脚本(Cross-site scripting)又称为跨站脚本攻击,是一种出现频率很高的网络攻击手段。XSS的产生是由于Web应用程序对用户的输入过滤不足,攻击者通过网页程序的漏洞把恶意代码注入到网页,当用户点击或加载时执行恶意程序,从而达到获取私密数据、会话、cookie等目的。
XSS攻击
dingbin1973的博客
11-20 95
XSS即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的, 当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。 说白了就是,有一段js代码本不应该是项目需要运行的结果,但是被执行了。 一种方法是通过script标签引入外部js文件,但是这个文件不被开发者具备所有权, 那这个文件可能会被攻击者附带恶意代...
跨站脚本攻击XSS案例及其解决方案
若华‘的博客
01-03 7182
跨站脚本攻击XSS 目录 案例一:留言板的XSS攻击 利用xss窃取用户名密码 案例二:输入框的XSS攻击 怎么预防 服务端可以干的事 客户端可以干的事 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 案例一...
【XSS漏洞-06】XSS漏洞利用案例(浏览器劫持、会话劫持、GetShell)—基于神器beEF
m0_64378913的博客
06-02 4578
(1)了解beEF工具的使用; (2)加深理解XSS漏洞的利用和危害; (3)掌握浏览器劫持的攻击方法; (4)掌握会话劫持的攻击方法; (5)掌握通过XSS漏洞GetShell的方法。
微信小程序、小程序html富文本转换插件、html富文本标签转换
06-10
总之,“微信小程序html富文本转换”是小程序开发中的一个常见需求,通过wxParse这样的插件,我们可以轻松地在小程序中展示丰富多彩的HTML内容,提升用户体验。在实践中,开发者应当熟悉插件的使用方法,结合微信小...
XSS防护:XSS攻击案例分析.docx
08-28
XSS防护:XSS攻击案例分析.docx
扫码借阅系统:PHP后端 (2)_微信小程序模板js代码前台前端H5页面源码+后台源码.rar
08-09
该压缩包文件“扫码借阅系统:PHP后端 (2)_微信小程序模板js代码前台前端H5页面源码+后台源码.rar”包含了构建一个完整的扫码借阅系统的资源,主要涉及微信小程序、前端H5页面以及PHP后台源码。下面将详细解释其中...
如何去除富文本中的html标签及vue、react、微信小程序中的过滤器
01-03
在获取富文本后,又只要显示部分内容,需要去除富文本标签,然后再截取其中一部分内容;.../* *、+限定符都是贪婪的,因为它们会尽可能多的匹配文字,只有在它们的后面加上一个?就可以实现非贪婪或最小匹配。*/ let
XSS分析及预防
weixin_34261415的博客
04-29 167
XSS分析及预防 XSS(Cross Site Scripting),又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。在WEB前端应用日益发展的今天,XSS漏洞尤其容易被开发人员忽视,最终可能造成对个人信息的泄漏。如今,仍然没有统一的方式来检测XSS漏洞,但是对于前端开发人员而言,仍是可以在某些细微处避免的,因此本文会结合笔...
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
热门推荐
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。希望您喜欢~
xss攻击 html代码,常见的XSS攻击代码
weixin_35671110的博客
06-07 2103
第一类:在html标签事件中触发,典型的是on*事件,但是这种触发模式的缺陷在于不能直接触发所以更多的需要配合使用。eg:1.使html元素占据整个显示页面 2.增加属性触发事件 3.自动触发事件在真实环境中,‘ 、" 、( 、) 都是属于黑名单中的成员,如果遇到以上四个字符被过滤的情况,那么我们就需要使用其他字符去代替,或者编码的方式去绕过。eg:1.不使用 " 2.不使用 ‘ 3.不使用...
XSS漏洞实例
Sumarua的博客
06-19 1207
xss闯关游戏 实战靶场:云演xss漏洞靶场 第一关 直接输出 (1)分析 XSS 测试中一般使用弹窗的方式进行测试。 (2)弹窗代码示例: 此时弹窗回显为1,说明我们输入的指令被成功执行,存在低级的xss漏洞 第二关 value 此时我们再执行这条命令时发现无反应,没有弹窗也没有回显 示例结果 第三关 简单过滤 又叫复写 ,是一种简单的绕过姿势 第四关 简单过滤 当我们输入带有alert的字符时会直接退出脚本执行 javascript中 prompt()方法用于显示一个带有提
【网络安全】XSS盲打实战案例:某网页漫画
HBohan的博客
01-18 2445
"XSS盲打"是指在攻击者对数据提交后展现的后台未知的情况下,网站采用了攻击者插入了带真实攻击功能的XSS攻击代码(通常是使用script标签引入远程的js)的数据。当未知后台在展现时没有对这些提交的数据进行过滤,那么后台管理人员在操作时就会触发XSS来实现攻击者预定好的“真实攻击功能”。
经历一次真实的XSS跨站攻击以及应付之策
无界编程
04-21 3837
这是一个线上真实的事情,黑客已经攻破网站,并主动给我们上报了问题的根源以及解决方案还是不错的。1.前端网站某处存在用户评论输入,黑客再此输出跨站脚本,下面的是从数据库查出来的2.后台管理人员如果浏览到这条数据就会触发这个js,这个js会跳转到真实的地址然后执行js这里只选择一部分从中可以看出其实黑客就是让管理人员执行这段js然后发送其cookie到执行的服务器再存储起来,然后黑客就可以冒充管理人员
XSS漏洞
zhoutong2323的博客
04-19 2564
XSS漏洞(Cross-Site Scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者在受害者的浏览器中注入恶意脚本。当受害者访问包含恶意脚本的网页时,攻击者就可以利用该漏洞来执行任意的代码,例如窃取用户的敏感信息、修改网页内容或进行其他恶意活动。
【安全】 xss跨站脚本攻击
weixin_30823001的博客
08-11 60
1. xss入门 2.xss攻击汇总 3.xss攻击案例 (1)雅虎某分站的XSS导致雅虎邮箱沦陷 转载于:https://www.cnblogs.com/tango-dg/p/4720890.html
浅谈XSS攻击原理与解决方法
a7412605567的博客
02-27 255
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值