PHP漏洞全解(四)-xss跨站脚本攻击

最新推荐文章于 2021-10-11 21:40:02 发布
最新推荐文章于 2021-10-11 21:40:02 发布
阅读量489 收藏
点赞数
分类专栏: 网络安全 网站相关 文章标签: 脚本 php scripting cookies server css
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zacklin/article/details/7464505
版权


XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS

跨站脚本主要被攻击者利用来读取网站用户的cookies或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限。

跨站脚本攻击的一般步骤:

1、攻击者以某种方式发送xss的http链接给目标用户

2、目标用户登录此网站,在登陆期间打开了攻击者发送的xss链接

3、网站执行了此xss攻击脚本

4、目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息

5、攻击者使用目标用户的信息登录网站,完成攻击

 

当有存在跨站漏洞的程序出现的时候,攻击者可以构造类似 http://www.sectop.com/search.php?key=" method="POST">

跨站脚本被插进去了

防御方法还是使用htmlspecialchars过滤输出的变量,或者提交给自身文件的表单使用

这样直接避免了$_SERVER["PHP_SELF"]变量被跨站


zacklin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脚本攻击(XSS)分类介绍及解决办法
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
php防止post注入恶意代码,防止恶意代码注入XSS(cross site scripting)
weixin_33100265的博客
03-16 311
Login.PHP页面html>登录页面用户名密码LoginController.PHP页面html>登录验证//接收用户提交的用户名和密码(login.php页面提交的参数)$username=$_REQUEST['username'];$password=$_REQUEST['password'];//到数据库验证,怎样写出安全的代码,防止其它用户***//1.连接数据库$li...
PHP开发必知必会之sql注入xss攻击csrf以及文件包含漏洞
05-20
本课程包括四部分都是php开发应该要知道的技能,提高自己代码质量以及代码的安全1 sql注入的原理以及实战sqlmap使用2 csrf攻击原理以及防御3 xss攻击原理以及防御4 文件包含漏洞防御
PHP代码执行漏洞总结大全
LJW_IIE的博客
10-11 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
脚本(Cross-site scripting)介绍
后端开发
05-27 1567
脚本(Cross-site scripting,通常简称为XSS或脚本脚本攻击)是一种网应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意
PHP漏洞全解1-9
09-16
PHP 漏洞全解( 一)-PHP 网页的安全性问题 针对 PHP 的网主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval 注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、脚本攻击(Cross ...
PHP漏洞全解1-9_php安全开发技巧_php安全开发基础详解_
09-29
例如,SQL注入、脚本攻击(XSS)和请求伪造(CSRF)等,都是由于未能有效验证和过滤用户数据导致的。开发者应当学会使用预处理语句来防止SQL注入,使用htmlspecialchars函数来防御XSS攻击,并添加验证码或...
PHP漏洞全解
07-26
PHP漏洞全解(一)-PHP...PHP漏洞全解(四)-xss脚本攻击 PHP漏洞全解(五)-SQL注入攻击 PHP漏洞全解(六)-请求伪造 PHP漏洞全解(七)-Session劫持 PHP漏洞全解(八)-HTTP响应拆分 PHP漏洞全解(九)-文件上传漏洞
php漏洞全解1
最新发布
08-03
3. **客户端脚本攻击(Script Insertion)**,也称为**脚本攻击(XSS)**:攻击者通过注入恶意脚本,影响其他用户的浏览器。防范XSS的方法包括:正确使用`htmlspecialchars()`或`htmlentities()`转义用户输入,设置...
PHP常见漏洞的防范措施
大鹏
12-18 1993
一、常见PHP安全漏洞 对于PHP漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
PHP漏洞全解(详细介绍)
10-27
针对PHP的网主要存在下面几种攻击方式,这里介绍下,大家在书写php代码的时候一定要注意下
PHP 防护XSS,SQL,代码执行,文件包含等多种高危漏洞
05-21
1.将waf.php传到要包含的文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('waf.php'); 就可以做到页面防注入、 如果想整防注,就在网的一个公用文件中,如数据库链接文件config.inc.php中! 添加require_once('waf.php');来调用本代码 常用php系统添加文件 PHPCMS V9 \phpcms\base.php PHPWIND8.7 \data\sql_config.php DEDECMS5.7 \data\common.inc.php DiscuzX2 \config\config_global.php Wordpress \wp-config.php Metinfo \include\head.php b).在每个文件最前加上代码 在php.ini中找到: Automatically add files before or after any PHP document. auto_prepend_file = waf.php路径;
xss 脚本漏洞 php,脚本漏洞(XSS)基础讲解
weixin_33044131的博客
03-09 548
XSS漏洞一、文章简介XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。这篇文章将带你通过代码层面去理解三个问题:什么是XSS漏洞?XSS漏洞有哪些分类?如何防范XSS漏洞?二、XSS 漏洞简介脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到...
PHP漏洞全解(三)-xss脚本攻击
稻草人技术博客
12-11 2101
本文主要介绍针对PHP的xss脚本攻击脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网攻击者利用请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求、修改口令和下载非法的内容等请求。XSS(Cross Site Scripting),意为脚本攻击
XSS(脚本攻击)详解
热门推荐
谢公子的博客
09-08 7万+
目录 XSS的原理和分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSS: XSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS的原理和分类 脚本攻击XSS(Cros...
PHP中怎样避免SQL注入漏洞和XSS脚本攻击漏洞
weixin_41380972的博客
12-29 2032
漏洞危害: 黑客利用精心组织的SQL语句,通过Web表单注入的Web应用中,从而获取后台DB的访问与存取权限。获取相应的权限之后,可以对网页和数据库进行进一步的篡改、挂马和跳板攻击行为。 防止SQL注入代码: 主要是利用magic_quotes_gpc指令或它的搭挡addslashes()函数; 如果要自己拼SQL语句,一定要自己再过滤一下【addslashes】,也不是直接就能过滤,还要考...
XSS脚本攻击详解与防御策略
"该资源主要介绍了XSS脚本攻击的相关知识,包括攻击的定义、类型、漏洞挖掘以及防范措施。此外,还探讨了Web安全的三个主要目标:保护Web服务器及其数据的安全、保护信息传递的安全以及保护终端用户设备的安全。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值