【网络安全】Self XSS + 文件上传CSRF

最新推荐文章于 2025-12-28 16:26:18 发布
最新推荐文章于 2025-12-28 16:26:18 发布
阅读量2.1k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网络安全新手快速入门(附漏洞挖掘案例) 文章标签: web安全 漏洞挖掘
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/141865949

未经许可,不得转载。

文章目录

正文

在目标网站 target.com 的“联系我们”表单中,我注意到一个文件上传选项。

我最初输入了一个随机字符串,如 123xss,结果发现服务器没有对这个字符串进行足够的处理,比如转义或过滤,而是将其直接反射到网页中并展示给用户。

于是,我尝试注入XSS payloads,但由于HTML编码,攻击未能成功。

发现反射点

接着,我利用Burp Suite对请求进行了深入分析,发现文件上传操作会通过 filename 变量来传递上传文件的名称。我尝试在文件名中输入随机文本,试图找到反射点,但最初并没有任何效果。后来,我修改了文件的扩展名为“helloworld.fakeext”,成功触发了一个错误消息:

提供的文件扩展名“helloworld.fakeext”与预期的媒体类型不匹配。

这个错误信息中反射了文件扩展名,由此确认存在反射点。

实现XSS

在确认反射点之后,我开始尝试 HTML 注入,并成功触发了 alert(1),这表明注入点有效。然而,当我尝试执行 alert(document.domain) 时,发现它并没有起作用,因为 .domain 被识别为不符合预期的文件扩展名,阻止了代码执行。

幸运的是,JavaScript 提供了灵活的方括号访问语法,允许我们绕过这种限制

了解本专栏 订阅专栏 解锁全文 超级会员免费看
xss注入、文件上传漏洞
数字人生
07-26 1697
XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击,它允许攻击者在网页中插入恶意脚本(通常是JavaScript),当其他用户浏览该网页时,这些脚本会在用户的浏览器上执行。一旦这些恶意文件上传并成功执行,攻击者就可以获得对服务器的控制权,进一步执行未授权的操作,如数据窃取、服务中断、内网渗透等。当受害者的浏览器加载该URL时,恶意脚本会被执行。:攻击者将恶意脚本注入到网站的数据库中,如评论、用户资料等,当其他用户浏览这些数据时,恶意脚本会在他们的浏览器上执行。
3 easy文件包含及文件上传漏洞搭建(xss解决~~)
weixin_62297109的博客
04-11 833
前天做xss漏洞页面失败了,payload打上去,总是没有反应(具体情况去上一篇看一看呦~)今天问了问我同学,俩人一起鼓捣了一下。发现是关联文件的问题。(杀了我吧!!!具体原因呢,上图我一直在看php语句,我也一直觉得是我配置的问题,没网上看总喜欢去自己弱项的地方挑问题。。。没想到啊把这句去掉,就能完美运行那么,简单反射型xss漏洞就解决了。如此静态页面,直接上传到我们的服务器上就可以了。
文件上传CSRF+Selfxss
qq_57686163的博客
08-15 1513
文件上传案例和CSRF+selfXSS演示
渗透测试 2 --- XSSCSRF文件上传文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3959
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
5,xss漏洞+文件上传漏洞
m0_64040060的博客
09-24 2020
未对上传文件进行严格的验证和过滤,我们通过抓包修改数据包或者其他手段上传一个可执行的动态脚本文件。iis 7.0/7.5 形如nginx 解析 访问文件 xxx.jpg/任意名称.php 此时 会将文件当作php 来解析。文件夹以.asp .asa .cer .cdx 作为结尾的 此时该目录下优先当作asp解析。在文件名后追加 /xxx.php 此时 会将文件优先当作php来解析。3.2.尝试使用不同的文件拓展名 .php3 .php4 .phtml。
记一次Self XSS+CSRF组合利用
2401_89294392的博客
02-25 930
目录:确认 XSS 漏洞确认 CSRF 漏洞这个漏洞是我在应用程序的订阅表单中发现的一个 XSS 漏洞,只能通过 POST 请求进行利用。通常情况下,基于 POST 的 XSS 如果没有与 CSRF 结合来展示其影响力,那么这就是一个普通的反射型 XSSSelf XSS)。本来这不会成为一个大问题,但这个表单中实现了 Google reCAPTCHA v2。本文将探讨我是如何绕过 CAPTCHA,从而成功实现 CSRF 攻击的。
学习 xss+csrf 组合拳
weixin_67259816的博客
05-28 4175
该篇文章记录了xss+csrf的组合拳,无论是存储型xss还是反射型xsscsrf结合在一块,都会有一个更强大的收获。
前端安全防护:XSSCSRF攻防策略与实战
zevjay的博客
04-15 1251
前端安全防护是每一位开发者不容忽视的责任。通过深入理解XSSCSRF攻击原理,结合输入验证、输出编码、启用CSP、使用Anti-CSRF Tokens、配置SameSite Cookie属性和强制HTTPS等策略,我们可以有效抵御这两种常见攻击,保障用户数据安全和网站稳定性。作为博主,我将持续分享前端安全领域的知识与实践经验,助力广大开发者共建更安全的网络环境。
文件上传的多种利用方式
Hacker_Oldv的博客
12-06 1090
文件上传漏洞除了可以通过绕过检测进行webshell的上传之外,还有多种其它的漏洞可以进行测试。
浅谈src挖掘中——文件上传XSS漏洞的组合拳,网络安全零基础入门到精通实战教程!
白帽阿叁的博客
02-12 1140
哈喽,师傅们好!这次打算给师弟们分享的是XSS之Flash弹窗钓鱼和文件上传getshell各种姿势的内容,然后先是给小白师傅们简单介绍下XSS漏洞文件上传漏洞。然后后面给师傅们简单演示了XSS之Flash弹窗钓鱼,然后后面很详细的介绍了文件上传XSS漏洞的组合拳的好几种方式,后面也是通过对一个站点的测试,给师傅们演示了一波。后面给师傅们整理了下pdf木马制作的过程以及最后面分享下我一次在测文件上传最后也是getshell了。这里利用form表单。
使用XSS自动上传表单文件的例子
fjh1997的博客
05-12 392
仅供渗透测试,禁止他用。方案二:iframe。
XSS之Flash弹窗钓鱼和文件上传getshell各种姿势,网络安全零基础入门到精通教程建议收藏!
2301_79455190的博客
02-20 786
哈喽,大家好!这次打算给师弟们分享的是XSS之Flash弹窗钓鱼和文件上传getshell各种姿势的内容,然后先是给小白师傅们简单介绍下XSS漏洞文件上传漏洞。然后后面给师傅们简单演示了XSS之Flash弹窗钓鱼,然后后面很详细的介绍了文件上传XSS漏洞的组合拳的好几种方式,后面也是通过对一个站点的测试,给师傅们演示了一波。后面给师傅们整理了下pdf木马制作的过程以及最后面分享下我一次在测文件上传最后也是getshell了。
XSS,文件上传,文件包含】
一纸荒芜的博客
07-31 3171
网络安全面试题
XSS渗透测试WEB端的任意文件上传
a1604914398的博客
05-09 835
1、解决办法:严格限制脚本格式文件上传,js前台文件格式校验; function checkFlieType(){ var fileType = $(':radio[name="attach-type"]:checked').val();//文件类型 var file = $('#file').val(); if (file == '' || file &lt...
【小迪安全web安全|渗透测试|网络安全|SRC挖掘|学习笔记|2021|
weixin_45635831的博客
12-25 604
批量挖掘流程:FOFA收集目标(50万+域名)xray批量扫描(万分之一命中率)人工验证漏洞真实性提交漏洞平台源码审计优势:能深度分析算法逻辑和安全机制黑盒测试要点:常规漏洞扫描JS接口探测三方组件分析经济因素考量:部分售卖系统可能需要购买授权才能获取测试权限开发语言特征:JAVA开发系统常将核心部分封装到dll或jar文件中反编译工具:使用dnSpy等工具对编译文件进行反编译分析。
计算机网络 (郑烇) 8 网络安全
qq_44845100的博客
12-28 94
第2天:基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器|小迪安全笔记|网络安全|
最新发布
weixin_45635831的博客
12-28 593
26:07。
CISAW-SS安全软件认证|2026年培训日程公布,赋能安全开发,从代码源头筑牢防线
qq_44969472的博客
12-25 560
本课程旨在为软件生命周期的各类角色注入安全基因,培养能将安全能力深度集成到需求、设计、编码、测试全流程的专业人才。:针对主流开发语言(如Java, C/C++, Python等),讲解如何编写安全、健壮的代码,避免注入、溢出等经典漏洞。:掌握SAST、DAST、IAST等白盒、黑盒、灰盒安全测试技术,以及渗透测试、模糊测试等方法。政府、金融、能源、互联网等行业的软件项目经理、架构师、开发工程师、测试工程师。:从根本上转变“重功能、轻安全”的开发观念,全面提升团队的安全素养与实战技能。
第1天:基础入门-操作系统&名词&文件下载&反弹SHELL&防火墙绕过|小迪安全笔记|网络安全|
weixin_45635831的博客
12-28 493
核心知识点:文件下载类操作反弹shell技术系统权限管理系统分类:个人主机与服务器主机的区别Windows与Linux系统的命令差异网络安全要素:防火墙配置内外网隔离正向/反向连接方式权限管理:文件权限设置用户权限控制运维权限分配学习建议:掌握基础命令是前提思路比具体技术更重要避免直接攻击在线靶机。
xss攻击CSRF 攻击怎么避免
04-03
### 如何避免 XSSCSRF 攻击 #### 防止 XSS 攻击的最佳实践及解决方案 跨站脚本攻击(XSS)是一种常见的安全威胁,主要通过注入恶意脚本来窃取用户数据或劫持会话。以下是几种有效的防护方法: 1. **输入验证与输出编码** 对于用户的任何输入都需要进行严格的验证和清理,确保其不包含潜在的恶意字符。对于动态生成的内容,在将其渲染到页面之前应对其进行 HTML 转义处理[^2]。例如,可以使用 JavaScript 库 `DOMPurify` 来清除可能存在的危险标签。 ```javascript const sanitizedInput = DOMPurify.sanitize(userInput); document.getElementById('output').innerHTML = sanitizedInput; ``` 2. **实施内容安全策略 (CSP)** 内容安全策略能够有效减少 XSS 攻击的影响范围。它允许开发者定义哪些资源是可以加载的以及哪些外部脚本是可信的。这可以通过 HTTP 响应头设置实现[^3]。 ```http Content-Security-Policy: script-src 'self' https://trusted.cdn.com; object-src 'none'; base-uri 'self'; ``` 3. **定期代码审查与渗透测试** 定期开展代码审查活动有助于发现隐藏的安全隐患,并及时修复这些问题。此外,还可以利用自动化工具来检测已知类型的漏洞[^1]。 --- #### 防止 CSRF 攻击的最佳实践及解决方案 跨站请求伪造(CSRF)是指攻击者诱导受害者提交未经许可的操作给目标网站的行为。为了防范此类风险,可采取如下措施: 1. **引入 Anti-CSRF Tokens** 在表单中嵌入一次性令牌作为额外参数传递至服务器端校验。如果缺少该字段或者值不符合预期,则拒绝相应请求。许多现代框架如 Django 或 Flask 提供内置支持简化此过程。 ```python from flask_wtf.csrf import CSRFProtect app = Flask(__name__) csrf = CSRFProtect(app) @app.route('/submit', methods=['POST']) def submit(): # 自动保护 POST 请求免受 CSRF 影响 pass ``` 2. **双重 Cookie 检查模式** 当客户端发起敏感动作时,除了常规的身份认证外还需附加随机数形式的 cookie 数据项用于匹配确认身份合法性。这种方式特别适合 RESTful API 场景下应用。 3. **限制 Referer/Origin Header 校验** 通过对来源地址头部信息做严格限定只接受来自特定域下的链接访问从而阻止非法站点冒充正常业务流程发送指令。 --- ### 结论 综合来看,针对 XSSCSRF 这两类典型 Web 安全问题,采用多层次防御手段相结合的方式最为稳妥可靠。既包括前端层面的数据净化展示控制也涉及后台逻辑缜密设计加上必要的网络通信协议加固配置共同构筑起坚固防线抵御各类入侵企图。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值