PHP漏洞全解(四)-xss跨站脚本攻击

最新推荐文章于 2021-03-09 22:17:56 发布
最新推荐文章于 2021-03-09 22:17:56 发布
阅读量533 收藏
点赞数
分类专栏: 日常学习 感悟生命
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yafei450225664/article/details/53508057
版权

为了自我学习和交流PHP(jquery,linux,lamp,shell,javascript,服务器)等一系列的知识,希望光临本博客的人可以进来交流。寻求共同发展。搭建平台。本人博客也有许多的技术文档,希望可以为你提供一些帮助。


QQ群: 191848169   点击链接加入群【PHP技术交流(总群)】



XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS

跨站脚本主要被攻击者利用来读取网站用户的cookies或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限。

跨站脚本攻击的一般步骤:

1、攻击者以某种方式发送xss的http链接给目标用户

2、目标用户登录此网站,在登陆期间打开了攻击者发送的xss链接

3、网站执行了此xss攻击脚本

4、目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息

5、攻击者使用目标用户的信息登录网站,完成攻击


 

当有存在跨站漏洞的程序出现的时候,攻击者可以构造类似 http://www.sectop.com/search.php?key= " method="POST">

跨站脚本被插进去了

防御方法还是使用htmlspecialchars过滤输出的变量,或者提交给自身文件的表单使用


这样直接避免了$_SERVER["PHP_SELF"]变量被跨站

rabbit-dog
关注
专栏目录
利用PHP编程防范XSS跨站脚本攻击
03-04
国内不少论坛都存在跨站脚本漏洞,国外也很多这样的例子。跨站攻击很容易就可以构造,而且非常隐蔽,不易被查觉(通常盗取信息后马上跳转回原页面)。在此主要谈谈如何防范。首先,跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的,所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等,可以使用htmlentities() 。
PHP漏洞全解1-9
09-16
PHP 漏洞全解( 一)-PHP 网页的安全性问题 针对 PHP 的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval 注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross ...
PHP漏洞全解(三)-xss跨站脚本攻击
稻草人技术博客
12-11 2119
本文主要介绍针对PHP网站的xss跨站脚本攻击跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求、修改口令和下载非法的内容等请求。XSS(Cross Site Scripting),意为跨网站脚本攻击,
PHP安全编程:跨站脚本攻击
tracywxh的专栏
01-14 1050
跨站攻击攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰,PHP应用也不例外。 所有有输入的应用都面临着风险。Webmail,论坛,留言本,甚至是Blog。事实上,大多数Web应用提供输入是出于更吸引人气的目的,但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义,跨站脚本漏洞就产生了。 以一个允许在每个页面上录入评论的应用为例,它使用了下面的表单帮助用户进行提交:
xss 跨站脚本漏洞 php,跨站脚本漏洞(XSS)基础讲解
weixin_33044131的博客
03-09 559
XSS漏洞一、文章简介XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。这篇文章将带你通过代码层面去理解三个问题:什么是XSS漏洞XSS漏洞有哪些分类?如何防范XSS漏洞?二、XSS 漏洞简介跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到...
PHP漏洞全解1-9.pdf
06-23
根据提供的文件信息,本文将对其中提及的PHP安全漏洞进行详细的解释与分析,并提供相应的防护措施建议。...此外,还应该注意其他类型的攻击,如跨站脚本攻击XSS)、SQL注入等,并采取相应的防护措施。
PHP漏洞全解(详细介绍)
10-27
这种攻击可能导致跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。防范方法包括对用户输入进行严格的过滤,确保输出的数据不包含换行符等潜在的响应拆分字符。 10. 文件上传漏洞(File Upload Attack) 文件上传漏洞允许...
PHP漏洞全解
07-26
PHP漏洞全解(一)-PHP网站...PHP漏洞全解()-xss跨站脚本攻击 PHP漏洞全解(五)-SQL注入攻击 PHP漏洞全解(六)-跨网站请求伪造 PHP漏洞全解(七)-Session劫持 PHP漏洞全解(八)-HTTP响应拆分 PHP漏洞全解(九)-文件上传漏洞
PHP漏洞全解(七)-Session劫持整理.pdf
02-01
Session劫持有多种攻击手段,常见的比如跨站脚本攻击XSS),通过XSS漏洞,攻击者能够执行恶意脚本,获取目标用户的Session ID。此外,利用用户的公共Wi-Fi、嗅探、中间人攻击(MITM)等也是常见的劫持方式。 在...
PHP 防护XSS,SQL,代码执行,文件包含等多种高危漏洞
05-21
1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('waf.php'); 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
跨站脚本编制问题解决
06-12
基于OWASP组织提供的WEB项目中跨站脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
php 跨站脚本编制_一个脚本中的个季节:使用PHP创建季节性站点主题
cungui5726的博客
08-19 376
php 跨站脚本编制Having just officially passed into spring here, it feels appropriate to provide a lesson on creating seasonal themes for web sites. Regularly changing the appearance of a site in tune with ...
PHP代码审计 05 XSS 存储型漏洞
kevinhanser
07-20 632
本文记录 PHP 代码审计的学习过程,教程为暗月 2015 版的 PHP 代码审计课程 PHP 代码审计博客目录 1. 简介 存储型 XSS 漏洞 代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS 比较危险,容易造成蠕虫,盗窃cookie 等 审计 SQL 语句 主要是update insert 更新和插入语句内容输入输出没有被过滤或者过滤不严 防...
web漏洞 XSS
煮酒闲谈
10-18 947
形成原理xss 中文名是“跨站脚本攻击”,英文名“Cross Site Scripting”。 xss也是一种注入攻击,当web应用对用户输入过滤不严格,攻击者写入恶意的脚本代码(HTML、JavaScript)到网页中时,如果用户访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击。 常见的危害有 cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。 xss
PHP常见漏洞的防范措施
大鹏
12-18 2122
一、常见PHP网站安全漏洞 对于PHP漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞脚本命令执行漏洞全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
PHP如何防止XSS攻击
weixin_30411819的博客
05-17 614
PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义. 所以,htmlspecialchars函...
如何防止跨站脚本攻击
大明的博客
08-21 2183
转自:http://www.freebuf.com/articles/web/15188.html 1. 简介 跨站脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免跨站脚本,浏
PHP漏洞之session会话劫持
weixin_30448603的博客
01-05 131
本文主要介绍针对PHP网站Session劫持。session劫持是一种比较复杂的攻击方法。大部分互联网上的电脑多存在被攻击的危险。这是一种劫持tcp协议的方法,所以几乎所有的局域网,都存在被劫持可能。 服务端和客户端之间是通过session(会话)来连接沟通。当客户端的浏览器连接到服务器后,服务器就会建立一个该用户的session。每个用 户的session都是独立的,并且由服务器来维护。每个用...
PHP和Apache环境中部署xsslabs XSS跨站脚本攻击靶场教程
"PHP、Apache环境中部署xsslabs(XSS跨站脚本攻击靶场)" xsslabs是一个开源的XSS跨站脚本攻击靶场工具,使用PHP代码编写,可以在PHP和Apache环境中运行。下面是部署xsslabs的详细步骤和相关知识点: **知识点1:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值