一个XSS攻击的例子

最新推荐文章于 2024-08-18 06:00:00 发布
最新推荐文章于 2024-08-18 06:00:00 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: Web前端 文章标签: xss
一个XSS攻击的例子



 

  • jsp代码
        <div id="getObjectUrlPanel" class="hide">
            <form id="getObjectUrlForm" class="form-horizontal" >
                <div class="row" style="margin-bottom: 0px;">
                    <div class="control-group span">
                        <label class="control-label" style="width: 60px;">
                            文件 : 
                        </label>
                        <div class="controls">  
                            <div class="contentLong">                       
                                <label class="control-label" 
                                    style="text-align: left; 
                                    width: 300px;" id="objectKey"></label>
                            </div>
                        </div>
                    </div>
                </div>

                <div class="row" style="margin-top:23px; height:70px;">
                    <div class="control-group span">
                        <label class="control-label" style="width:60px;">
                            地址 : 
                        </label>
                        <div class="controls">
                            <div id="getObjectUrlDiv">
                                请输入链接有效时间: <input type="text"
                                  id="timeOut" name="timeOut" 
                                  {required:true,regexp:/^[1-9]\d*$/}" 
                                  data-messages="{regexp:'只能为正整数!'}" />秒
                                <button id="getObjectUrl" type="button"     

                                  class="button button-small">
                                  <i class="icon-search"></i>获取URL</button>
                            </div>
                            <div class="contentLong">
                                <a id="objectUrl"  target="_blank"></a>
                            </div>  
                        </div>
                    </div>
                </div>
            </form>
        </div>
  • 错误的js代码
1. 初始值
    $('#objectKey').val('<script>alert(1)');
    $('#objectKey').html('<script>alert(1)');
2. 获取值
    $('#objectKey').val();
  • 以上js带来的问题 
    1. 如果使用html,那就可以不用.val(),获取值部分可以改为$(‘#objectKey’).html();
    2. 使用.html,没有做到防XSS,所有需主动显示到页面的字段,都应做好防XSS
    3. “文件”那一栏并不是input元素,而是span元素,不要使用.val,而应使用.text
  • 改写建议
1. 初始值
    $('#objectKey').text(escape('<script>alert(1)'));
2. 获取值
    $('#objectKey').text();
3. escape方法
function escape(val) {
    if (!val) {
        return'';
    }
    var htmlEscapes = {
        '&':'&amp;',
        '<':'&lt;',
        '>':'&gt;',
        '"':'&quot;',
        "'":'&#x27;',
        '/':'&#x2F;'
    };
    var htmlEscaper = /[&<>"'\/]/g;
    return ('' + val).replace(htmlEscaper, function(match) {
        return htmlEscapes[match];
    });
}
  • 附 
    jQuery的html(),text()和val()区别 
    1、.html()用为读取和修改元素的HTML标签 
    2、.text()用来读取或修改元素的纯文本内容 span div 元素 
    3、.val()用来读取或修改表单元素的value值 input 元素

 

lbanyan
关注
专栏目录
XSS攻击实例分析
mdp1234的博客
07-29 4515
例1、简单XSS攻击 留言类,简单注入javascript 万能测试XSS漏洞代码:"/></textarea><script>alert(1)</script> 有个表单域:<input type=“text” name=“content” value=“这里是用户填写的数据”> 1、假若用户填写数据为:<script>alert('foolish!')</script>(或者<script type=..
Web安全之XSS攻击与防御小结
10-17
为了更好地理解XSS攻击及其防御,可以通过搭建一个简单的Node.js应用进行模拟。在Linux环境下,创建一个新项目,使用Express框架,然后安装依赖,编写路由和视图文件。通过在URL参数中传递不同的XSS payload,观察其...
XSS攻击实例1
01-11
简单让你了解xss攻击。 项目基于Asp.net 框架,VS2010下创建,C#语言
XSS例子
技术资料库
10-19 6187
Note from the author: XSS is Cross Site Scripting. If you dont know how XSS (Cross Site Scripting) works, this page probably wont help you. This page is for people who
xss 一些例子
最新发布
aimnr的博客
08-18 767
这里接收了一个somebody参数,传到了spaghet的h2标签里面,用了innerHTML来插入,可识别html标签h2标签里面是可以识别html标签的,直接用img错误路径就行?
10个XSS攻击实例
m0_49521873的博客
05-25 2000
1. Cookie盗窃攻击:攻击者可以通过注入恶意代码,获取用户的 Cookie,并利用 Cookie 进行身份验证,获取用户的敏感信息。4. 注入点击劫持攻击:攻击者可以注入一段代码,将隐藏的按钮伪装成用户需要点击的区域,当用户点击时,实际上在执行一个恶意操作。9. 恶意相片攻击:攻击者可以在从社交媒体网站下载的相片中注入一段代码,当用户查看相片时,代码就会临时运行,窃取用户的信息。8. 恶意广告攻击:攻击者可以在广告中注入一段代码,当用户点击广告时,代码就可以窃取用户的个人信息。
(二)XSS实例
weixin_43047908的博客
04-10 1043
Reflected XSS Reflected XSS into HTML context with nothing encoded 构造攻击脚本:<script>alert(1)</script> 将该脚本输入到搜索框中 Reflected XSS into HTML context with most tags and attributes blocked 在搜索功能中包含反射型跨站点脚本漏洞,但是使用了Web应用程序防火墙(WAF)来防御常见的XSS向量。 构造payload
XSS攻击一个校内简单实例
热门推荐
YKRY35的博客
11-11 1万+
前言 偷得浮生半日闲。 记一记往事。 大神请绕道。。 写之前打开hackinglab,一年不见,多了个创新关。 脚本关的12-15题是XSS。打开脚本关的XSS瞅了一眼,15关没过。 想起上次啃15关啃了很久啃不出,那时还在高中的图书馆里。此处省略一千字。 时隔若干年,老夫要找个时间再试一试。 这里的攻击对象是学校旧的网络...
8、XSS 攻击的防御pdf资料
10-15
XSS(跨站脚本攻击)是网络安全领域中一种...总之,XSS攻击是一种严重的威胁,需要开发者在设计和开发阶段就充分考虑安全性,通过合理的输入验证、数据转义和使用安全策略来降低攻击风险,保护用户的隐私和数据安全。
一个xss攻击例子
05-02
假设一个网站有一个搜索框,用户可以在其中输入搜索关键字。如果网站没有对用户输入的内容进行过滤和转义,那么攻击者可以在搜索框中注入一些恶意代码,比如以下的代码: ```javascript alert('你的账号已经被...
各类花里胡哨的XSS攻击举例解读(正在持续更新中~)
WalterBailey's Blog
04-24 2672
文章目录XSS攻击XSS Payload“Cookie劫持”攻击更为强大XSS Payload构造GET和POST请求GET请求POST请求通过XSS Payload读取QMail用户的邮件文件夹XSS钓鱼识别用户浏览器通过XSS读取浏览器的UserAgent对象:另一种方法识别用户安装的软件 XSS攻击 XSS Payload XSS攻击成功后,攻击者能够对用户当前浏览的页面植入恶意脚本,通过...
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
能够发现90%以上XSS漏洞的7个主要的XSS案例。
weixin_42976700的博客
11-04 1847
在阅读有关XSS的材料时,我们通常会看到经典的<script> alert(1)</ script>作为这种漏洞的证明(PoC –概念证明)。尽管确实如此,但它并没有超出此范围,这使得该领域的新手可以寻求更多解决方案来应对现实情况。 因此,这是每个人都应该知道能够利用那里的绝大多数XSS缺陷的7种情况。建立了一个网页来显示它们的变化(单引号或双引号)来进行训练(单击以转到它): 在源代码的开头,有一个HTML注释,其中包含用于触发每种情况的所有参数。它们都适...
跨站脚本功攻击,xss一个简单的例子让你知道什么是xss攻击
weixin_34008933的博客
11-14 260
跨站脚本功攻击,xss一个简单的例子让你知道什么是xss攻击 一、总结 一句话总结:比如用户留言功能,用户留言中写的是网页可执行代码,例如js代码,然后这段代码在可看到这段留言的不同一户的显示上就会执行。   1、什么是xss? 用户 代码 页面 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为...
xss攻击简单实例
weixin_33997389的博客
12-02 535
2019独角兽企业重金招聘Python工程师标准>>> ...
实现 XSS 攻击简单示例
weixin_34128839的博客
06-21 1925
为什么80%的码农都做不了架构师?>>> ...
最全--跨站脚本攻击(XSS)举例和预防方法
Keep trying, keep going
04-30 1549
跨站脚本攻击(XSS)是指攻击者通过,从而窃取用户信息、篡改网页内容等。。
XSS第四节,XSS攻击实例(一)
897371388
07-06 322
在开始实例的讲解之前,先看一下XSS的危害情况,第一张图中说明和XSS相关的CVE漏洞有7417个(http://web.nvd.nist.gov/view/vuln/search-results?query=xss&amp;search_type=all&amp;cves=on),第二张图说明在了乌云漏洞平台(www.wooyun.org)上和XSS相关的漏洞有2360个,足见XSS威力...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值