合天实验--xss基础防御对策

最新推荐文章于 2024-10-09 09:00:53 发布
最新推荐文章于 2024-10-09 09:00:53 发布
阅读量269 收藏
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yqdid/article/details/104884786
版权

实例1

xss漏洞产生的基本原因为:在Web应用的网页中,部分显示内容会依据外界的输入值而发生变化,在生成HTML的过程中,如果HTML语法中含有特殊意义的字符(元字符)没有被正确处理,结果就会导致HTML或者是Javacript被注入,从而使得原来的HTML结构发生变化,然后就会滋生出我们常说的xss漏洞。

实例1 的代码为:
在这里插入图片描述

对于用户输入的“name”没有做任何的处理。然后用JavaScript代码可以进行攻击<script>alert(123)</script>
在这里插入图片描述

防御对策
htmlspecialchars函数:进行HTML的转义。
在这里插入图片描述
用法: string htmlspecialchars(string $string, int $quote_style, string $charset);
$string——转换对象字符串
$qote_style——转换方法(ENT_NOQUOTES,ENT_COMPAT,ENT_QUOTES)
$charset——字符编码。例如:UTF-8、GBK

<?php
echo htmlspecialchars($_GET["name"],ENT_COMPAT,"UTF-8");
?>

修改源代码之后再次输入时就没有弹框了,这句话被原样的输出在了页面上。
在这里插入图片描述

实例2

在这里插入图片描述

preg_replace(“/<script>/”,””, $_name); 这句代码将小写的 <script 替换为空。
但可以利用大小写绕过。
在这里插入图片描述
防御对策:同样利用htmlspecialchars函数过滤。
在这里插入图片描述

修改后再次测试,原样输出:
在这里插入图片描述

实例3

源代码:
在这里插入图片描述

/<script/的后面多了个小写的i,那么这就表示对大小写忽略。
不能用大小写过滤。

但是
可以用其他的xss攻击形式:<img src=1 onerror=alert(123)>
在这里插入图片描述

防御对策:
仍然用htmlspecialchars函数
在这里插入图片描述

在这里插入图片描述

yqdidy
关注
[网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御
杨秀璋的专栏
07-24 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源。这篇文章将详细分享远控木马及APT攻击中的远控,包括木马的基本概念和分类、木马的植入方式、远控木马的通信方式、APT攻击与远控木马等。作者之前分享了多篇木马的文章,但这篇更多是讲解远控型木马,基础性文章,希望对您有所帮助~
防御。。。。
Ruizxzx的博客
06-28 785
(1)Structure-Preserving Progressive Low-rank Image Completion for Defending Adversarial Attacks 深度神经网络通过分析局部图像细节并沿着推理层总结其信息来识别目标,从而得出最终的决策。正因为如此,它们容易受到对抗性的攻击。输入图像中的小而复杂的噪声会沿着网络推理路径累积,并在网络输出中产生错误的决策。另一方面,人眼是基于物体的整体结构和语义线索来识别物体的,而不是基于图像的局部纹理。正因为如此,人眼仍然可以清楚地
浅谈XSS攻击和对策
TONG哥的专栏
03-10 491
前言 随着互联网的不断发展,web应用的互动性也越来越强。但正如一个硬币会有两面一样,在用户体验提升的同时安全风险也会跟着有所增加。今天,我们就来讲一讲web渗透中常见的一种攻击方式:XSS攻击。 什么是XSS攻击 先上一段标准解释(摘自百度百科)。 “XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS...
XSS 攻击实验 & 防御方案
热门推荐
is_zhoufeng的专栏
05-22 2万+
XSS 实验 不要觉得你的网站很安全,实际上每个网站或多或少都存在漏洞,其中xss/csrf是最常见的漏洞,也是最容易被开发者忽略的漏洞,一不小心就要被黑 下面以一个用户列表页面来演示xss攻击的实验 假设某个恶意用户在注册时输入的用户名中包含攻击代码 首先准备一个jsp页面来显示用户列表 "text/html;charset=UTF-8" language="j
【转】XSS攻击及防御
05-08 202
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它...
xss防御的最好方式_黑客实战入门--XSS漏洞原理及实战过程
weixin_39851872的博客
12-12 1646
黑客基础知识--通过一个实例让你明白什么是XSS漏洞今天在漏洞盒子找漏洞的时发现一个理财网站具体的就不透露了就试了试 结果发现竟然存在一个存储性xss于是决定搞一搞。其实xss在互联网当中是非常常见的,接下来我就给大家介绍下xss漏洞的原理以及实战。什么是XSS漏洞XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,...
XSS基础学习笔记
曹世宏的博客
09-22 2273
XSS基础 XSS概念: 通常情况下,在Web应用的网页中,有些部分的显示内容会根据外届输入值而发生变化(会反弹恶意代码),而如果生成这些HTML的程序中存在问题,就会滋生名为跨站脚本(Cross-Site Scripting)的安全隐患。由于它和知名的CSS(层叠样式表)缩写冲突,所以经常缩写为XSSXSS的风险: Web应用若存在XSS漏洞,就会有如下风险: 用户的浏览器中运行攻击者的恶...
Web应用安全:使用Perl的对策进行HTML转义的方法(实验).docx
06-19
本次实验的主要目的是让参与者深入了解XSS攻击的相关知识,并学习如何使用Perl语言对HTML进行转义,以实现XSS防御。此外,参与者还将了解Perl语言的基本概念,并熟悉如何在Apache服务器上搭建CGI环境。 #### 实验...
Web安全攻防:渗透测试实战指南(徐焱)(Z-Library)
最新发布
2301_78440479的博客
10-09 1161
徐焱,北京交通大学长三角研究院安全研究员。2002年接触网络安全,主要研究方向是内网渗透和APT攻击,有丰富的网络安全渗透经验。已出版图书《网络攻防实战研究:漏洞利用与提权》,曾在《黑客防线》、《黑客X档案》、《黑客手册》、FreeBuf、360安全客、阿里云盾先知、嘶吼等杂志和媒体上发表过多篇技术文章。李文轩,常用ID:遗忘。曾任天融信渗透测试工程师,现任奇虎360攻防实验室安全研究员,擅长渗透测试、无线电安全,活跃于多个漏洞报告平台,报告过多个CVE漏洞,参与360安全客季刊的编辑审核。
20221915 2022-2023-2 《网络攻防实践》实践十报告
Chris's blog
05-14 231
本次实践让我学习SQL注入和XSS攻击的方法,了解其中的攻击原理。
网络攻防技术——XSS实验
学习记录
02-27 3438
一、题目 跨站点脚本(XSS)是一种常见于web应用程序中的计算机安全漏洞。此漏洞使攻击者有可能将恶意代码(如JavaScripts)注入受害者的web浏览器。 为了演示攻击者可以做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的web应用程序。我们已经注释掉了Elgg的一些保护方法,故意使其容易受到XSS攻击。学生们需要利用这些漏洞发动攻击,就像Samy Kamkar在2005年通过臭名昭著的Samy蠕虫对MySpace所做的那样。此攻击的最终目标是在用户之间传播XSS蠕虫,这样无论
Web安全:XSS漏洞的测试(防止 黑客利用此漏洞.)
网络安全领域___专研者.
03-17 1万+
XSS漏洞的概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
【应用安全之XSS一】XSS攻击测试以及防御
qq_35789269的博客
02-19 6654
跨站脚本攻击 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 攻击实例 下面为一个Input标签: <input type="text" value="value"></input> 当用输入值
网络攻防-XSS攻击实验
qq_64389397的博客
01-07 1867
1.在传播病毒的同时,将病毒也复制在about me中,这样这段代码就会一直存在,所有访问都在自己的about字段添加这段代码,这样就能一直传第下去。如果不添加If判断,如果时samy自己进入个人简介,也会触发JavaScript代码,但是因为post的about me字段为空,那么这段JavaScript代码将会被清空,所以需要加上这段if判断,这样当当前用户是samy时,不会触发。3.由获取的信息可知,接口的url地址,post提交数据的方式,使用这些信息填入JavaScript框架的对应信息中。
安全测试之xss漏洞的检测与防御
HSS919的博客
03-13 4824
手工检测重点要考虑数据输入的地方,且需要清楚输入的数据输出到什么地方。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。手工检测结果相对准确,但效率较低。
XSS漏洞原理及防御方式
GL的博客
03-07 4273
XSS漏洞 Cross Sitescript跨站脚本攻击,客户端脚本安全中的头号大敌 XSS攻击:(需要具备两个条件) 1、需要向WEB页面注入恶意代码 2、这些恶意代码能够被浏览器成功执行 XSS攻击类型: 1、反射攻击 用户输入的数据反射给浏览器,这个数据可能是Html代码或者Js代码,反射给浏览器去执行 2、存储型攻击 用户把输入的数据(比较恶意的JS代码)储存在服务器端,具有很强的稳定性,危害时间长 XSS危害: 1、 劫持Cookie,cookie一般保存了用户
【网络攻防技术】实验七—— XSS攻击实验(Elgg)
qq_45755706的博客
03-01 7644
文章目录一、实验题目二、实验步骤及结果配置相关环境Task1: Posting a Malicious Message to Display an Alert WindowTask 2: Posting a Malicious Message to Display CookiesTask 3: Stealing Cookies from the Victim’s MachineTask 4: Becoming the Victim’s FriendTask 5: Modifying the Victim’s
跨网站脚本攻击(XSS)的原理与防范对策
bytxl的专栏
11-12 5539
摘要:随着计算机网络技术的迅速发展,网络安全问题已变得越来越受到人们的重视,网络攻击形式多种多样,很多蠕虫病毒、木马病毒等植入到某些网页中,给网络用户带来了很大的安全隐患。其中XSS跨网站脚本攻击,恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。本文主要阐述了XSS的机理和特点,重点分析了网页代码的检测以及
XSS攻击原理及防御措施
建伟博客
03-27 1万+
参考文章:http://www.cnblogs.com/shytong/p/5308641.html一、XSS攻击原理    XSS是什么?它的全名是:Cross-site scripting,为了和CSS层叠样式表区分所以取名XSS。是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言...
使用Content-Security-Policy防止XSS攻击:指南与实践
本文将介绍如何使用Content-Security-Policy(CSP)来加强网站安全性,防止XSS攻击。CSP是一种策略,它允许开发者指定浏览器仅从特定来源加载和执行资源,以此来对抗跨站脚本攻击。通过定义白名单,CSP有效地阻止了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值