国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

XSS_跨站腳本攻擊

wthee / 1107人閱讀

摘要:原理惡意攻擊者往頁面里插入惡意代碼,當用戶瀏覽該頁之時,嵌入其中里面的代碼會被執行,從而達到惡意攻擊用戶的目的。常見場景一些私人的博客,攻擊者惡意評論,彈出,這種充其量也就是一個玩笑。

前段時間在網上看到一個網址,好奇之下進去看了看。勝利的條件是你錄入一個串,讓其調用prompt(1) 。發現里面有好多想不到的東西,今天終于悠閑了來這里說說XSS。

XSS 原理

惡意攻擊者往Web頁面里插入惡意Script代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的Script代碼會被執行,從而達到惡意攻擊用戶的目的。

XSS 常見場景

一些私人的博客,攻擊者惡意評論,彈出alert,這種充其量也就是一個玩笑。但是如果是盜竊cookie異常提交請求,這些就比較難受了。

prompt(1)

chrome 版本 62.0.3202.75(正式版本) (64 位)

function escape(input) {
   // warm up
   // script should be executed without user interaction
   return "";
}

第一個
這是一個開胃菜,沒有做任何校驗,這種不設防的在現在已經很少了。他把值直接拼入字符串,組成一個DOM input標簽,那我們只要正確的把標簽閉合掉就可以調用了。
">,拼出來的字符串為">,這樣就等于插入了我們的代碼。

function escape(input) {
    // tags stripping mechanism from ExtJS library
    // Ext.util.Format.stripTags
    var stripTagsRE = /]+>/gi;
    input = input.replace(stripTagsRE, "");
    return "
" + input + "
"; 
}

第二個
這個已經提升難度了,/]+>/gi匹配<>標簽內的所有東西,如輸入轉換過后會出現prompt(1),內容里面的標簽被替換掉了。所以這個我們去嘗試不閉合標簽,讓瀏覽器自己去容錯。
|on.+?=|focus/gi, "_"); return ""; }

第六個
/>|on.+?=|focus/gi替換了>onxxxx=focus。通過input特殊的type類型。
`"type=image src onerror
="prompt(1)`

就先寫到這里吧。等看有時間再把東西補一補。

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/92085.html

相關文章

  • 總結 XSS 與 CSRF 兩種跨站攻擊

    摘要:但最近又聽說了另一種跨站攻擊,于是找了些資料了解了一下,并與放在一起做個比較。腳本中的不速之客全稱跨站腳本,是注入攻擊的一種。 XSS:跨站腳本(Cross-site scripting) CSRF:跨站請求偽造(Cross-site request forgery) 在那個年代,大家一般用拼接字符串的方式來構造動態 SQL 語句創建應用,于是 SQL 注入成了很流行的攻擊方式。...

    jcc 評論0 收藏0

  • XSS_跨站腳本攻擊

    摘要:原理惡意攻擊者往頁面里插入惡意代碼,當用戶瀏覽該頁之時,嵌入其中里面的代碼會被執行,從而達到惡意攻擊用戶的目的。常見場景一些私人的博客,攻擊者惡意評論,彈出,這種充其量也就是一個玩笑。 前段時間在網上看到一個網址,好奇之下進去看了看。勝利的條件是你錄入一個串,讓其調用prompt(1) 。發現里面有好多想不到的東西,今天終于悠閑了來這里說說XSS。 XSS 原理 惡意攻擊者往Web頁面...

    張巨偉 評論0 收藏0

  • 20170812-XSS跨站腳本攻擊

    摘要:跨站腳本攻擊跨站腳本攻擊為了不和層疊樣式表縮寫混淆,所以將跨站腳本攻擊縮寫為。而始終被蒙在鼓里。大大增強了網頁的安全性減少注意這里是減少而不是消滅跨站腳本攻擊。 XSS跨站腳本攻擊: XSS 跨站腳本攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets,CSS)縮寫混淆, 所以將跨站腳本攻擊縮寫為XSS。 XSS是攻擊者在w...

    894974231 評論0 收藏0

  • 《網絡黑白》一書所抄襲的文章列表

    摘要:網絡黑白一書所抄襲的文章列表這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術也沒有干貨。 《網絡黑白》一書所抄襲的文章列表 這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術...

    zlyBear 評論0 收藏0

發表評論

0條評論

wthee

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<