Python全栈(五)Web安全攻防之8.XSS攻击(上)

最新推荐文章于 2022-06-12 20:21:02 发布
最新推荐文章于 2022-06-12 20:21:02 发布
阅读量5.1k 收藏 9
点赞数 10
分类专栏: Python全栈 文章标签: Python全栈 Web安全攻防 XSS攻击(上)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CUFEECR/article/details/104839077
版权
本文详细介绍了如何绕过SQL注入,包括去除注释符、剔除and/or、去除空格的策略及sqlmap的使用。接着讲解了XSS跨站脚本,包括XSS漏洞原理、cookie、XSS分类(反射型、存储型、DOM型)以及Python利用cookie进行会话劫持的方法。此外,还讨论了XSS如何篡改网页链接和盗取用户信息,以及如何利用beef-xss和setoolkit进行攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、绕过SQL注入

1.绕过去除注释符的SQL注入

注释符的作用:
用于标记某段代码的作用,起到对代码功能的说明作用,但是注释掉的内容不会被执行。
Mysql中的注释符:

  • 单行注释
    --+--空格#
  • 多行注释
    /* 多行注释内容 */

正常的SQL语句中,注释符起到说明作用的功能;
但是对于在利用SQL注入漏洞过程中,注释符起到闭合单引号、多单引号、双引号、单括号、多括号的功能。
利用注释符过滤不能成功闭合单引号时,换一种思路,利用or ‘1’ = '1形式的语句来闭合。
SQL中测试:

select * from users where id
了解本专栏 订阅专栏 解锁全文 超级会员免费看
PythonWeb安全攻防之9.XSS攻击(下)
CUFEECR的博客
03-17 3739
属性中的XSS发现–下拉框select;HTML表单input属性;HTML表单隐藏参数。修改maxlength的值达到XSS攻击效果;通过HTML事件来触发XSS;空格分隔属性中的XSS。利用javascript伪协议触发XSS;绕过注释domain(双写绕过和编码绕过2种方式)。绕过替换script和on事件的XSS;利用IE特性绕过XSS过滤;利用CSS特性绕过XSS过滤;IE中利用CSS触发XSS。16进制绕过过滤触发XSS;unicode绕过过滤触发XSS
PythonWeb安全攻防之11.Web安全攻防小结
CUFEECR的博客
03-25 3541
信息收集包括域名、端口、敏感信息、真实IP地址的收集,还包括工具shodan使用。sqlmap包含很多参数,主要有target、request、optimization、injection、Technique、enumeration等方面的参数。SQL注入前提条件、分类,包括GET报错的注入、基于时间的盲注、基于布尔的盲注,POST报错的注入,还有注入的绕过手段。XSS跨站脚本包括三类(反射型、存储型和DOM型),有常见的payload。文件上传有6种常见的绕过验证的方式。
pythonxss注入
吴景慈跑得快的博客
03-14 5704
什么是xss注入攻击 可以查看这篇文章 其实主要就是转换特定的字符,在某些接口前转换出来或者在前端做处理转换出来,这篇文章只是后端的转换和恢复 转换 quote表示是否要转换引号 >>> import cgi >>> cgi.escape('<script>&"', quote=True) '<script&amp...
python-xss攻击和单例模式
weixin_30815427的博客
08-07 260
1.python中单例模式 class Foo: instance = None def __new__(cls, *args, **kwargs): if not Foo.instance: Foo.instance = object.__new__(cls,*args,**kwargs) ...
python pymsql 重写ORM save方法防止XSS攻击
weixin_43382342的博客
08-02 290
python pymsql 重写ORM save方法防止XSS攻击 class BaseModel(models.Model): create_time = models.DateField(auto_now_add=True, null=True, verbose_name='创建时间') update_time = models.DateField(auto_now=Tr...
PythonWeb安全攻防之3.sqlmap的使用介绍
CUFEECR的博客
02-27 5221
SQL注入,就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令;Sqlmap的输出信息按从简到繁共分为7个级别依次为0、1、2、3、4、5和6;sqlmap获取目标的方式有直连数据库、指定目标URL和读取不同文件类型进行SQL注入3种方式。sqlmap设置请求参数的类型包括HTTP方法、设置post提交参数、设置cookie参数、设置user-agent、设置代理、设置延迟、设置超时、设置超时重试次数、设置随机参数、设置忽略401和避免被屏蔽等。
PythonWeb安全攻防之4.sqlmap性能优化和注入技术参数
CUFEECR的博客
03-01 6406
sqlmap性能优化包括设置持久HTTP连接、设置不接收HTTP Body和设置多线程;sqlmap自定义检测参数包括用--level设置检测等级和用--risk设置风险等级;sqlmap设置指定注入参数用-p,当注入点位于URI本身内部时使用*指定注入点;sqlmap强制设置DBMS用--dbms,强制设置OS系统用--os,强制设置无效值替换包括设置大整数、布尔值和随机字符串,去并且可以使用前缀和后缀自定义注入负载位置,可以设置Tamper脚本和DBMS认证;可以设置SQL注入技术和查询的其他参数。
python网站安(): XSS注入
stripe-python
06-12 1499
使用python详解了XSS注入的预防
python网站攻击脚本_python的flask解决xss攻击漏洞
weixin_39840606的博客
11-26 396
xss漏洞解决跨站脚本攻击的原理XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 …XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防...
web安全攻防实战》——使用Python和Django框架搭建一个简单的小网站
fairy1016的博客
09-03 185
安装Diango环境 python -m pip install django 创建项目 django-admin startproject mysite 运行服务器 python manage.py runserver 0.0.0.0:8001 创建第一个APP django-admin startapp firstapp 创建templates文件夹存放index.html内容 mkdir templates echo “hello”>templates/index.html 将h
Python-XSSCon一个用python37实现功能强大的XSS扫描工具
08-10
XSSCon: 一个用python 3.7实现功能强大的XSS扫描工具
Python-JShell用XSS获取一个JavaScriptshell
08-10
JShell - 用XSS获取一个JavaScript shell
Django如何实现防止XSS攻击
12-16
一、什么是XSS攻击 xss攻击:—–>web注入   xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。   我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。 PS: 把用户输入的数据以安的形式显示,那只能是在页面上显示字符串。 django框架中给数据标记安方式显示(
#笔记(二十九)#csrf漏洞小结
vircorns的博客
02-23 272
攻击原理 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A; (网站B对网站A发出一个请求的同时,浏览器也会把网站...
python---Django常见的web攻击和防范
weixin_34357267的博客
03-31 458
1、sql注入攻击及防范 2、xss攻击和防范 3、csrf攻击和防范 一、sql注入攻击和防范 1、sql注入的危害: 非法读取、篡改、删除数据库中的数据 盗用用户的各种敏感信息,获取利益 通过修改数据库来修改网页上的内容 注入木马 2、攻击的方法: 项目中,执行数据库中操作不是用orm来编写,用原生的sql语句,例如登录页面: 1 from django...
python---xss(Cross Site Scripting)跨站脚本攻击和csrf(xsrf)跨站点请求伪造(Cross—Site Request Forgery)攻击...
weixin_30539625的博客
03-08 230
xss跨站脚本攻击:恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 例如:某些论坛允许用户自由发言,而不对用户的输入数据进行检测,直接显示在页面中。 若是用户输入了某些css样式代码,html表格代码,显示在页面后会改变页面的布局。 若是输入某些js代码,用于获取其他用户的文件,或者修改本地文件...
python Web之防止SQL注入
Fantasy_worm的博客
01-03 3827
伴随着Web2.0、社交网络、微博等一系列新型互联网产品的兴起,基于Web环境的互联网应用越来越广泛,Web攻击的手段也越来越多样,Web史上的一个重要里程碑是大约1999年发现的SQL注入攻击,之后的XSS,CSRF等攻击手段愈发强大,Web攻击的思路也从服务端转向了客户端,转向了浏览器和用户。 在安领域,一般用帽子的颜色来比喻黑客的善与恶,白帽子是指那些工作在反黑客领域的技术专家,这个...
web渗透测试-从入门到放弃-04XSS漏洞
lx1315998513的博客
10-28 713
XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; ​ XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。 XSS是一种发生在前端浏览器端的漏洞,所以其危...
xss,csrf,SQL注入
python小霸王
02-28 1055
一、Xss 1、定义:跨站脚步攻击,过滤用户表单提交的数据 2、防范措施:        a.使用PHP内置函数:htmlspecialchars(),strip_tags,trim,addslashes。         b.PHP所有打印的语句如echo,print等,在打印前都要使用htmlentities() 进行过滤,           这样可以防止X
ctf指南(入门篇).pdf
最新发布
06-21
### 回答1: 《CTF指南(入门篇)》是一本帮助初学者入门CTF竞赛的书籍。CTF(Capture The Flag)竞赛是一种安技术比赛,旨在通过解决各种安挑战,提高参赛者的信息安技能。 本书逐步介绍了CTF竞赛的各种基础知识,包括计算机网络基础、Windows和Linux操作系统基础、二进制和汇编语言、Web渗透测试、逆向工程等。 在网络基础部分,读者可以学习到TCP/IP协议、HTTP协议等相关知识,有助于理解网络安全攻防的基础知识。 在操作系统基础和逆向工程部分,读者将了解各种系统漏洞和攻防的基础知识。在二进制和汇编语言部分,读者将学习汇编语言的基本概念,从而具备分析程序漏洞的能力。 在Web渗透测试部分,读者可以学习常用的Web漏洞,例如SQL注入、XSS、CSRF等,以及如何使用工具对Web应用程序进行渗透测试。 总的来说,本书是一本非常实用和有用的CTF学习资源,对于正在学习CTF的入门者来说,是一本不可或缺的参考书。阅读该书籍可以提高参赛者的CTF技能水平,也可以增加在信息安领域的基础知识。 ### 回答2: 《CTF指南(入门篇).pdf》是一本介绍网络安竞赛CTF(Capture The Flag)的指南书籍。本书主要分为四个章节,分别为计算机基础知识、Web、二进制安和密码学。 在计算机基础知识部分,读者将了解计算机体系结构、操作系统、编程语言等基础知识。这些知识是理解后续章节内容的前提。 在Web部分,读者将学习如何分析和攻击Web应用程序。包括Web目录枚举、SQL注入、XSS漏洞、文件上传漏洞等常见漏洞类型的原理和利用方法。 在二进制安部分,读者将学习如何分析和攻击二进制程序。包括反汇编、漏洞利用、ROP(Return-Oriented Programming)等内容。 在密码学部分,读者将了解密码学的基础知识,包括对称加密、非对称加密、哈希等常见算法的原理和应用。 此外,书中还提供了一些CTF比赛中常用的工具和技术,以及一些可以用来练习的虚拟机和挑战网站。最后,书中还分享了一些参加CTF比赛的心得体会和建议。 总的来说,《CTF指南(入门篇).pdf》是一本非常实用的入门级指南书籍,对想要学习网络安竞赛CTF的读者来说具有很大的参考价值。 ### 回答3: CTF指南(入门篇).pdf,是一本面向CTF初学者的入门教材。CTF(Capture The Flag)是一种网络安技术训练和交流的比赛形式,包括网络安技术、密码学、逆向工程等多个领域。因此,在CTF比赛中,需要掌握技能。 该教材从CTF的概念入手,介绍了CTF比赛的常见题型,包括WEB、REVERSE、CRYPTO等。并介绍了相应的解法和技能。此外,还介绍了CTF比赛的一些常用工具,如IDA Pro、Ollydbg、WireShark等,同时也介绍了一些编程语言和框架,如Python、PHP、Django等。 教材的写作风格通俗易懂,没有过多的专业术语,方便初学者理解。同时,还提供了一些练习题,可供读者练习巩固。 总之,该教材是一本CTF入门界别的经典教材,是学习CTF的入门资料之一。如果您想了解CTF比赛,或者想成为一名安研究员或网络安工程师,可以通过该教材深入学习CTF知识。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东哥说AI

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值