XSS学习笔记(五)-XSS防御

最新推荐文章于 2021-03-09 20:07:22 发布
VIP文章 最新推荐文章于 2021-03-09 20:07:22 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: 信安学习 Web渗透学习 文章标签: XSS防御 XSS 跨站脚本攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l_f0rm4t3d/article/details/24429397
版权
只要是产生XSS的地方都是伴随着输入或者输出的,所以抓住问题的主要矛盾,问题也就有了解决的方法了:可以在输入端严格过滤,也可以在输出时候过滤,就是在从用户输入的或输出到用户的GET或POST中是否有敏感字符:

输入过滤:
过滤 ' " , <  > \   <!--
客户端: 开启 XSS filter 

输出过滤(转义):
转义: ' "  \ <  <!-- (转义为&#32; 等HTML硬编码)
过滤: <script> href </script>模型 , window.location 模型 等

浏览器防御:IE 8 以上的内核 开启 XSS filter ,chrome ctrl+ shift + N  开启隐身浏览 , firefox Noscript 插件

其实有很多测试XSS攻击的工具:

Paros proxy (http://www.parosproxy.org)
Fiddler (http://www.fiddlertool.com/fiddler) (点击Toolbar上的"TextWizard" 按钮)
Burp proxy (http://www.portswigger.net/proxy/)
TamperIE (http://www.bayden.com/dl/TamperIESetup.exe)

下面贴一个 常见的php过滤XSS的函数:
 

                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  1_f0rm4t3d
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
xss测试语句大全--5000条

				
			

			

				

					03-24
				

			

		

		

			
				
xss测试语句---5000条

			
		

	



                

              
                



	

		

			

				
					
sql转义模块php,如何使用PHP在SQLServer中转义字符串?

				
			

			

				

					weixin_39837124的博客
				

				

					03-10
					
					112
					
				

			

		

		

			
				
functionms_escape_string($data){if(!isset($data)orempty($data))return'';if(is_numeric($data))return$data;$non_displayables=array('/%0[0-8bcef]/',//urlencoded00-08,11,1...

			
		

	



                


  
              

                


	

		

			

				
					
java 宽字节_宽字节XSS跨站攻击

				
			

			

				

					weixin_31953847的博客
				

				

					02-13
					
					701
					
				

			

		

		

			
				
简介宽字节跨站漏洞多发生在GB系统编码。 对于GBK编码,字符是由两个字节构成,在%df遇到%5c时,由于%df的ascii大于128,所以会自动拼接%5c,吃掉反斜线。而%27 %20小于ascii(128)的字符就会保留。通常都会用反斜线来转义恶意字符串,但是如果被吃掉后,转义失败,恶意的xss代码可以继续运行。什么是宽字节GB2312、GBK、GB18030、BIG5、Shift_JIS等这...

			
		

	





	

		

			

				
					
CI自动过滤掉百分号%后两位的问题解决

				
			

			

				

					xiliuhu的专栏
				

				

					07-05
					
					871
					
				

			

		

		

			
				
原文:http://www.nowamagic.net/librarys/veda/detail/1721




在 CodeIgniter 做的网站里,想输入一段代码:







1

$var =
 sprintf("%04d",
 2);







但是发现入库后,代码变成了







1

$var =


			
		

	



		

			
		



	

		

			

				
					
什么XSS攻击?PHP防止XSS攻击函数

				
			

			

				

					小白菜的专栏
				

				

					03-22
					
					690
					
				

			

		

		

			
				
XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现!

看看常见的恶意字符XSS 输入:

1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:
2.XSS 输入也可能是 HTML 代码段,譬如:

(1).网页不停地刷新

(2).嵌入其它网站的链接



防止XSS攻击测试路径:







 



其实

			
		

	





	

		

			

				
					
WEB渗透学习-XSS-labs靶场

				
			

			

				

					04-20
				

			

		

		

			
				
XSS-labs为WEB渗透中跨站脚本攻击专项练习靶场,内含多种攻击方式,采用关卡制,由易到难,适合刚接触该漏洞的新手巩固练习

			
		

	





	

		

			

				
					
xss-labs-master.rar

				
			

			

				

					05-09
				

			

		

		

			
				
xss-labs-master靶机资源,有关于xss漏洞攻击专项练习,一共有二十关,也是小白的看门砖吧!

			
		

	





	

		

			

				
					
XSS发生的位置-01

				
			

			

				

					09-15
				

			

		

		

			
				
XSS发生的位置-01

			
		

	





	

		

			

				
					
XSS攻击和防范

				
			

			

				

					qq_19557947的专栏
				

				

					09-04
					
					362
					
				

			

		

		

			
				
XSS又叫CSS(Cross Site Script),跨站脚本攻击。
它指的是恶意攻击者往web页面里插入恶意html代码,当用户浏览该页面时,
嵌入其中web里面的html代码会被执行,进而达到攻击的目的


PHP防范:
1,PHP直接输出html的,可以采用以下方法过滤:


htmlspecialchars函数,该函数会将预定义的字符""和"&"转换成HTML实体,实体

			
		

	





	

		

			

				
					
【Portswigger-web-security-academy】xss lab

				
			

			

				

					No Title
				

				

					12-29
					
					544
					
				

			

		

		

			
				
Lab: Reflected XSS into HTML context with all tags blocked except custom ones
题目提示是拦截了所有html标签,只能使用自定义标签。先尝试在搜索框中写入自定义标签:
<custom id=test>

查看网页源代码:
<header class="notification-header">
</header>
<section class=blog-header>
      &l

			
		

	





	

		

			

				
					
防止SQL注入和XSS跨站攻击代码

				
			

			

				

					融化的雪的专栏
				

				

					07-03
					
					5010
					
				

			

		

		

			
				
这两天用360网站安全检测网站,检测出SQL注入漏洞和

			
		

	





	

		

			

				
					
XSS跨站攻击

				
			

			

				

					思维小刀
				

				

					04-26
					
					521
					
				

			

		

		

			
				
1.简介跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?
XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,
进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。
从而盗取用户资料、利用用户身份进行某...

			
		

	





	

		

			

				
					
php  clean xss

				
			

			

				

					wiscourper的博客
				

				

					06-18
					
					1051
					
				

			

		

		

			
				
<?php

class XSS {

  /**
  * @desc 过滤数据
  *
  * @param $data string|array 输入数据
  * @param $low bool   是否采用更为严格的过滤
  *
  * @return 返回过滤的数据
  */
  public function clean_...

			
		

	





	

		

			

				
					
php中sql语句转义字符串,如何使用PHP在SQLServer中转义字符串?

				
			

			

				

					weixin_31046701的博客
				

				

					03-09
					
					219
					
				

			

		

		

			
				
UYOUfunctionms_escape_string($data){if(!isset($data)orempty($data))return'';if(is_numeric($data))return$data;$non_displayables=array('/%0[0-8bcef]/'...

			
		

	





	

		

			

				
					
php防止xss攻击

				
			

			

				

					u013695932的博客
				

				

					05-09
					
					281
					
				

			

		

		

			
				
<?PHP
function clean_xss(&$string, $low = False) {
  if (!is_array($string)) {
    $string = trim($string);
    $string = strip_tags($string);
    $string = htmlspecialchars($string);
    if ($low) {
      return True;
   ...

			
		

	





	

		

			

				
					
有效预防xss_预防XSS攻击的一些方法整理

				
			

			

				

					weixin_29069575的博客
				

				

					01-17
					
					3016
					
				

			

		

		

			
				
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。常见...

			
		

	





	

		

			

				
					
xss-labs-master靶场

					
最新发布

				
			

			

				

					09-29
				

			

		

		

			
				
xss-labs-master靶场是一个用于学习和实践跨站脚本攻击(Cross-Site Scripting,简称XSS)的实验环境。可以从GitHub上下载该靶场的源码,地址是https://github.com/do0dl3/xss-labs。在这个靶场中,你可以找到各种...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值