国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

XSS_跨站腳本攻擊

wthee / 1102人閱讀

摘要:原理惡意攻擊者往頁面里插入惡意代碼,當(dāng)用戶瀏覽該頁之時(shí),嵌入其中里面的代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的目的。常見場景一些私人的博客,攻擊者惡意評(píng)論,彈出,這種充其量也就是一個(gè)玩笑。

前段時(shí)間在網(wǎng)上看到一個(gè)網(wǎng)址,好奇之下進(jìn)去看了看。勝利的條件是你錄入一個(gè)串,讓其調(diào)用prompt(1) 。發(fā)現(xiàn)里面有好多想不到的東西,今天終于悠閑了來這里說說XSS。

XSS 原理

惡意攻擊者往Web頁面里插入惡意Script代碼,當(dāng)用戶瀏覽該頁之時(shí),嵌入其中Web里面的Script代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的目的。

XSS 常見場景

一些私人的博客,攻擊者惡意評(píng)論,彈出alert,這種充其量也就是一個(gè)玩笑。但是如果是盜竊cookie異常提交請求,這些就比較難受了。

prompt(1)

chrome 版本 62.0.3202.75(正式版本) (64 位)

function escape(input) {
   // warm up
   // script should be executed without user interaction
   return "";
} 

第一個(gè)
這是一個(gè)開胃菜,沒有做任何校驗(yàn),這種不設(shè)防的在現(xiàn)在已經(jīng)很少了。他把值直接拼入字符串,組成一個(gè)DOM input標(biāo)簽,那我們只要正確的把標(biāo)簽閉合掉就可以調(diào)用了。
">,拼出來的字符串為">,這樣就等于插入了我們的代碼。

function escape(input) {
    // tags stripping mechanism from ExtJS library
    // Ext.util.Format.stripTags
    var stripTagsRE = /]+>/gi;
    input = input.replace(stripTagsRE, "");
    return "
" + input + "
"; }

第二個(gè)
這個(gè)已經(jīng)提升難度了,/]+>/gi匹配<>標(biāo)簽內(nèi)的所有東西,如輸入轉(zhuǎn)換過后會(huì)出現(xiàn)prompt(1),內(nèi)容里面的標(biāo)簽被替換掉了。所以這個(gè)我們?nèi)L試不閉合標(biāo)簽,讓瀏覽器自己去容錯(cuò)。
|on.+?=|focus/gi, "_"); return ""; }

第六個(gè)
/>|on.+?=|focus/gi替換了>onxxxx=focus。通過input特殊的type類型。
`"type=image src onerror
="prompt(1)`

就先寫到這里吧。等看有時(shí)間再把東西補(bǔ)一補(bǔ)。

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/92085.html

相關(guān)文章

  • 總結(jié) XSS 與 CSRF 兩種跨站攻擊

    摘要:但最近又聽說了另一種跨站攻擊,于是找了些資料了解了一下,并與放在一起做個(gè)比較。腳本中的不速之客全稱跨站腳本,是注入攻擊的一種。 XSS:跨站腳本(Cross-site scripting) CSRF:跨站請求偽造(Cross-site request forgery) 在那個(gè)年代,大家一般用拼接字符串的方式來構(gòu)造動(dòng)態(tài) SQL 語句創(chuàng)建應(yīng)用,于是 SQL 注入成了很流行的攻擊方式。...

    jcc 評(píng)論0 收藏0
  • XSS_跨站腳本攻擊

    摘要:原理惡意攻擊者往頁面里插入惡意代碼,當(dāng)用戶瀏覽該頁之時(shí),嵌入其中里面的代碼會(huì)被執(zhí)行,從而達(dá)到惡意攻擊用戶的目的。常見場景一些私人的博客,攻擊者惡意評(píng)論,彈出,這種充其量也就是一個(gè)玩笑。 前段時(shí)間在網(wǎng)上看到一個(gè)網(wǎng)址,好奇之下進(jìn)去看了看。勝利的條件是你錄入一個(gè)串,讓其調(diào)用prompt(1) 。發(fā)現(xiàn)里面有好多想不到的東西,今天終于悠閑了來這里說說XSS。 XSS 原理 惡意攻擊者往Web頁面...

    張巨偉 評(píng)論0 收藏0
  • 20170812-XSS跨站腳本攻擊

    摘要:跨站腳本攻擊跨站腳本攻擊為了不和層疊樣式表縮寫混淆,所以將跨站腳本攻擊縮寫為。而始終被蒙在鼓里。大大增強(qiáng)了網(wǎng)頁的安全性減少注意這里是減少而不是消滅跨站腳本攻擊。 XSS跨站腳本攻擊: XSS 跨站腳本攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets,CSS)縮寫混淆, 所以將跨站腳本攻擊縮寫為XSS。 XSS是攻擊者在w...

    894974231 評(píng)論0 收藏0
  • 《網(wǎng)絡(luò)黑白》一書所抄襲的文章列表

    摘要:網(wǎng)絡(luò)黑白一書所抄襲的文章列表這本書實(shí)在是垃圾,一是因?yàn)樗幕ヂ?lián)網(wǎng)上的文章拼湊而成的,二是因?yàn)槠礈愃教睿B表述都一模一樣,還抄得前言不搭后語,三是因?yàn)閮?nèi)容全都是大量的科普,不涉及技術(shù)也沒有干貨。 《網(wǎng)絡(luò)黑白》一書所抄襲的文章列表 這本書實(shí)在是垃圾,一是因?yàn)樗幕ヂ?lián)網(wǎng)上的文章拼湊而成的,二是因?yàn)槠礈愃教睿B表述都一模一樣,還抄得前言不搭后語,三是因?yàn)閮?nèi)容全都是大量的科普,不涉及技術(shù)...

    zlyBear 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

最新活動(dòng)
閱讀需要支付1元查看
<