Python全栈(五)Web安全攻防之8.XSS攻击(上)

最新推荐文章于 2025-09-03 23:04:29 发布
最新推荐文章于 2025-09-03 23:04:29 发布
阅读量5.2k 收藏 9
点赞数 10
CC 4.0 BY-SA版权
分类专栏: Python全栈 文章标签: Python全栈 Web安全攻防 XSS攻击(上)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CUFEECR/article/details/104839077
本文详细介绍了如何绕过SQL注入,包括去除注释符、剔除and/or、去除空格的策略及sqlmap的使用。接着讲解了XSS跨站脚本,包括XSS漏洞原理、cookie、XSS分类(反射型、存储型、DOM型)以及Python利用cookie进行会话劫持的方法。此外,还讨论了XSS如何篡改网页链接和盗取用户信息,以及如何利用beef-xss和setoolkit进行攻击。

文章目录

一、绕过SQL注入

1.绕过去除注释符的SQL注入

注释符的作用:
用于标记某段代码的作用,起到对代码功能的说明作用,但是注释掉的内容不会被执行。
Mysql中的注释符:

  • 单行注释
    --+--空格#
  • 多行注释
    /* 多行注释内容 */

正常的SQL语句中,注释符起到说明作用的功能;
但是对于在利用SQL注入漏洞过程中,注释符起到闭合单引号、多单引号、双引号、单括号、多括号的功能。
利用注释符过滤不能成功闭合单引号时,换一种思路,利用or ‘1’ = '1形式的语句来闭合。
SQL中测试:

select * from users where id = '1' or
了解本专栏 订阅专栏 解锁全文 超级会员免费看
PythonWeb安全攻防之9.XSS攻击(下)
CUFEECR的博客
03-17 3785
属性中的XSS发现–下拉框select;HTML表单input属性;HTML表单隐藏参数。修改maxlength的值达到XSS攻击效果;通过HTML事件来触发XSS;空格分隔属性中的XSS。利用javascript伪协议触发XSS;绕过注释domain(双写绕过和编码绕过2种方式)。绕过替换script和on事件的XSS;利用IE特性绕过XSS过滤;利用CSS特性绕过XSS过滤;IE中利用CSS触发XSS。16进制绕过过滤触发XSS;unicode绕过过滤触发XSS
PythonWeb安全攻防之11.Web安全攻防小结
CUFEECR的博客
03-25 3605
信息收集包括域名、端口、敏感信息、真实IP地址的收集,还包括工具shodan使用。sqlmap包含很多参数,主要有target、request、optimization、injection、Technique、enumeration等方面的参数。SQL注入前提条件、分类,包括GET报错的注入、基于时间的盲注、基于布尔的盲注,POST报错的注入,还有注入的绕过手段。XSS跨站脚本包括三类(反射型、存储型和DOM型),有常见的payload。文件上传有6种常见的绕过验证的方式。
pythonxss注入
吴景慈跑得快的博客
03-14 5762
什么是xss注入攻击 可以查看这篇文章 其实主要就是转换特定的字符,在某些接口前转换出来或者在前端做处理转换出来,这篇文章只是后端的转换和恢复 转换 quote表示是否要转换引号 >>> import cgi >>> cgi.escape('<script>&"', quote=True) '<script&amp...
PythonWeb中的应用:XSS与CSRF攻击防护
最新发布
鸽芷咕的博客
09-03 8914
Web开发领域,安性始终是开发者必须面对的核心挑战。随着PythonWeb开发中的广泛应用,其丰富的安工具和框架为开发者提供了强大的防护手段。本文将聚焦XSS(跨站脚本攻击)与CSRF(跨站请求伪造)两种常见攻击,探讨如何利用Python技术构建安防线。
python-xss攻击和单例模式
weixin_30815427的博客
08-07 277
1.python中单例模式 class Foo: instance = None def __new__(cls, *args, **kwargs): if not Foo.instance: Foo.instance = object.__new__(cls,*args,**kwargs) ...
python pymsql 重写ORM save方法防止XSS攻击
weixin_43382342的博客
08-02 321
python pymsql 重写ORM save方法防止XSS攻击 class BaseModel(models.Model): create_time = models.DateField(auto_now_add=True, null=True, verbose_name='创建时间') update_time = models.DateField(auto_now=Tr...
PythonWeb安全攻防之3.sqlmap的使用介绍
CUFEECR的博客
02-27 5294
SQL注入,就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令;Sqlmap的输出信息按从简到繁共分为7个级别依次为0、1、2、3、4、5和6;sqlmap获取目标的方式有直连数据库、指定目标URL和读取不同文件类型进行SQL注入3种方式。sqlmap设置请求参数的类型包括HTTP方法、设置post提交参数、设置cookie参数、设置user-agent、设置代理、设置延迟、设置超时、设置超时重试次数、设置随机参数、设置忽略401和避免被屏蔽等。
PythonWeb安全攻防之4.sqlmap性能优化和注入技术参数
CUFEECR的博客
03-01 6459
sqlmap性能优化包括设置持久HTTP连接、设置不接收HTTP Body和设置多线程;sqlmap自定义检测参数包括用--level设置检测等级和用--risk设置风险等级;sqlmap设置指定注入参数用-p,当注入点位于URI本身内部时使用*指定注入点;sqlmap强制设置DBMS用--dbms,强制设置OS系统用--os,强制设置无效值替换包括设置大整数、布尔值和随机字符串,去并且可以使用前缀和后缀自定义注入负载位置,可以设置Tamper脚本和DBMS认证;可以设置SQL注入技术和查询的其他参数。
python网站安(): XSS注入
stripe-python
06-12 1556
使用python详解了XSS注入的预防
python网站攻击脚本_python的flask解决xss攻击漏洞
weixin_39840606的博客
11-26 421
xss漏洞解决跨站脚本攻击的原理XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 …XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防...
web安全攻防实战》——使用Python和Django框架搭建一个简单的小网站
fairy1016的博客
09-03 247
安装Diango环境 python -m pip install django 创建项目 django-admin startproject mysite 运行服务器 python manage.py runserver 0.0.0.0:8001 创建第一个APP django-admin startapp firstapp 创建templates文件夹存放index.html内容 mkdir templates echo “hello”>templates/index.html 将h
Python-XSSCon一个用python37实现功能强大的XSS扫描工具
08-10
XSSCon: 一个用python 3.7实现功能强大的XSS扫描工具
Python-JShell用XSS获取一个JavaScriptshell
08-10
JShell - 用XSS获取一个JavaScript shell
Django如何实现防止XSS攻击
12-16
一、什么是XSS攻击 xss攻击:—–>web注入   xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。   我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。 PS: 把用户输入的数据以安的形式显示,那只能是在页面上显示字符串。 django框架中给数据标记安方式显示(
#笔记(二十九)#csrf漏洞小结
vircorns的博客
02-23 290
攻击原理 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A; (网站B对网站A发出一个请求的同时,浏览器也会把网站...
python---Django常见的web攻击和防范
weixin_34357267的博客
03-31 484
1、sql注入攻击及防范 2、xss攻击和防范 3、csrf攻击和防范 一、sql注入攻击和防范 1、sql注入的危害: 非法读取、篡改、删除数据库中的数据 盗用用户的各种敏感信息,获取利益 通过修改数据库来修改网页上的内容 注入木马 2、攻击的方法: 项目中,执行数据库中操作不是用orm来编写,用原生的sql语句,例如登录页面: 1 from django...
python---xss(Cross Site Scripting)跨站脚本攻击和csrf(xsrf)跨站点请求伪造(Cross—Site Request Forgery)攻击...
weixin_30539625的博客
03-08 257
xss跨站脚本攻击:恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 例如:某些论坛允许用户自由发言,而不对用户的输入数据进行检测,直接显示在页面中。 若是用户输入了某些css样式代码,html表格代码,显示在页面后会改变页面的布局。 若是输入某些js代码,用于获取其他用户的文件,或者修改本地文件...
python Web之防止SQL注入
Fantasy_worm的博客
01-03 3883
伴随着Web2.0、社交网络、微博等一系列新型互联网产品的兴起,基于Web环境的互联网应用越来越广泛,Web攻击的手段也越来越多样,Web史上的一个重要里程碑是大约1999年发现的SQL注入攻击,之后的XSS,CSRF等攻击手段愈发强大,Web攻击的思路也从服务端转向了客户端,转向了浏览器和用户。 在安领域,一般用帽子的颜色来比喻黑客的善与恶,白帽子是指那些工作在反黑客领域的技术专家,这个...
web渗透测试-从入门到放弃-04XSS漏洞
lx1315998513的博客
10-28 745
XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; ​ XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。 XSS是一种发生在前端浏览器端的漏洞,所以其危...
理解WebXSS攻击类型与防御策略
"WebXSS攻击与防御小结" XSS攻击Web应用程序中常见的安威胁之一,它涉及到攻击者向网站注入恶意脚本,这些脚本在用户的浏览器中执行,可能导致敏感信息泄露、会话劫持或者执行其他恶意操作。攻击者通常...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东哥说AI

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值