XSS防范措施及href和js输出点的案例演示

最新推荐文章于 2025-06-04 09:04:06 发布
原创 最新推荐文章于 2025-06-04 09:04:06 发布 · 470 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客主要围绕网页输入处理展开。输入百度网址会有特定提示,输入其他内容会用htmlspecialchars处理特殊符号并输出在a标签href属性里,可利用javascript协议执行js。还测试了输入内容在js中的处理,根据条件弹出不同字符串,最后提到构造闭合输入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
直接查看源码
在这里插入图片描述
如果你输入的是"www.baidu.com",它会提示你:我靠,我真想不到你是这样的一个人,如果你输入的不是百度,它会把你输出的内容用htmlspecialchars去进行处理,同时这里用了"ENT_QUOTES",这就意味着单引号、双引号、左右尖括号及&等特殊符号会被处理,然后会把它输出在a标签的href属性里,那这样是不是就没有问题呢?
我们可以看到:输出在a标签的href属性里面,可以使用javascript协议来执行js,then
写一个playload看下效果
在这里插入图片描述
提交
在这里插入图片描述
查看页面源码
在这里插入图片描述
点一下
在这里插入图片描述
我们刚刚输入的那个alert就被执行了!
那我们再来看看js吧~
在这里插入图片描述
随便输入一个1111,点提交
在这里插入图片描述
查看页面源码
在这里插入图片描述
我们可以看到它的输入点在此处,它会把我们的输入放到js里面出然后再对这个变量进行判断,然后做对应的输出。
如果你的输出不等于0,并且还等于tmac,它会弹一个字符串:tmac确实厉害,看那小眼神…
否则弹一个:无论如何不要放弃心中所爱…
?,那我们来试试叭~
在这里插入图片描述
在这里插入图片描述
然后呢,我们可以去构造一个闭合,输入一个:
在这里插入图片描述
提交显示
在这里插入图片描述

[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源免费工具等。这些天分享了很多系统安全软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSSXSS靶场9道题目、如何防御XSS。希望您喜欢~
SQL Inject注入漏洞防范/sqlmap工具使用入门及案例介绍/XSS基本概念原理介绍/反射型XSS、存储型XSS漏洞实验演示讲解/nmap下载安装
qq_44696653的博客
04-15 758
SQL Inject注入漏洞的防范(以摘录为主) SQL Inject注入漏洞的防范可分为两部分:代码层面网络层面。 代码层面:1.对输入进行严格的转义过滤。2.使用预处理参数化 网络层面:1.通过WAF设备启用防SQL Inject注入策略(或类似防护系统) 2.云端防护(360网站卫士,阿里云盾等) PHP防范转义+过滤:以php为例,可以写一个函数对前端输入进来的数据进行转义,将里面的...
xssjs输出
apple12_12的博客
06-06 778
xssjs输出 当用户的输入被输出在了js中,该怎么绕过呢?今天在搞pikachu的时候遇到了这个问题,还是直接闭合标签< script >标签,再插入自己的代码:
pikachu靶场第十四关——XSS(跨站脚本)之js输出(附代码审计)
03-25 620
单引号没有被过滤,那么我们只需要将其闭合就行了。
pikachu靶场通关笔记14 XSS关卡10-XSSjs输出(五种方法渗透)
最新发布
mooyuan的网络安全博客
06-04 1326
本系列为通过《pikachu靶场通关笔记》的XSS关卡(共10关)渗透集合,通过对XSS关卡源码的代码审计找到安全风险的真实原因,讲解XSS的原理并进行渗透实践,本文使用5种方法对XSS1第10关卡XSSjs输出进行渗透。
Pikachu xssjs输出
SS_liang的博客
01-09 570
标签里面,就像我们平时的payload:<script>alert(xss)
12.xssjs输出
愿听风成曲
06-27 423
根据上面的代码编辑攻击代码,将前端代码中的script闭合,后面的script进行做攻击代码即可。将编辑好的代码直接输入提交,会直接弹出xss界面。接下来将这段代码复制出来进行编辑攻击代码。输入1111之后能看到心中所爱。
皮卡丘xss之htmlspecialchars、xsshref输出xssjs输出
Fly_Mojito的博客
05-30 1201
皮卡丘xss之htmlspecialchars、xsshref输出xssjs输出
实验32:xss防范措施hrefjs输出案例演示
qq_44720671的博客
04-29 471
xss防范措施hrefjs输出 一、防范措施 总结:输出做过滤,输出做转义。 二、href输出 我们以pikachu为例,打开xsshref输出 先输入:javascript:alert(666) 然后查看一下源码 再回来一下 即可得到: 三、js输出 我们以pikachu为例,打开xssjs输出 先随意输入一些字符,打开源代码 我们就可以知道,当输入“tmac”时会有东西弹...
XSS盲打演示讲解;XSS绕过思路讲解案例演示XSS绕过关于htmlspecialchars()函数;XSS常见防范措施
qq_44696653的博客
05-04 1028
XSS盲打演示讲解 当只有后台会看到前端输入的内容而前端无法判断是否存在XSS时,我们可以插入XSS代码。这个时候由于后端的安全考虑往往不会很严格,所以当管理员登陆的时候就会被X。 在pikachu上具体的实验演示; 1.在XSS盲打模块根据前端的提示输入相关信息,发现输入的信息只会反馈给后台,在前端无法显示。这里就可以不管别的直接输入跨站脚本的内容 例如:<script>alert...
XSS漏洞学习笔记
qi_SJQ_的博客
12-31 2817
xss学习笔记
Web应用安全:href属性与src属性的XSS.pptx
06-19
href属性与src属性的XSS 4 src属性的XSS 3 src属性 2 href属性的XSS 1 href属性 目录 herf属性 href是Hypertext Reference的缩写。 意思是指定超链接目标的URL。 href 属性的值可以是任何有效文档的相对或绝对URL,包括片段标识符JavaScript代码段。 1.herf简介 herf属性 <a> 标签的 href 属性用于指定超链接目标的 URL。 href 属性的值可以是任何有效文档的相对或绝对 URL,包括片段标识符 JavaScript 代码段。 如果用户选择了 <a> 标签中的内容,那么浏览器会尝试检索并显示 href 属性指定的 URL 所表示的文档,或者执行 JavaScript 表达式、方法函数的列表。 2.herf定义 herf属性 定于语法:<a href="URL"> 3.定于语法与属性值 href属性的XSS 由于浏览器会尝试检索并显示 href 属性指定的 URL 所表示的文档,或者执行 JavaScript 表达式, 所以如果我们把XSS恶意代码输出成JavaScript表达式,然后注
xss防范措施href js输出案例演示
qq_42764906的博客
04-27 929
后端代码 在 xsshref输出 中 输入 javascript:alert(111) 右键 查看源代码 ctrl+f 搜索alert
渗透测试-xss安全防御之href输出js输出
lza20001103的博客
04-24 3326
xss安全防御之href输出js输出
pikachuxss之herf、js输出
Resets_的博客
09-14 1285
pikachu xss之herf输出js输出xss总结
XSSCSRF
weixin_45922861的博客
12-24 224
XSS 漏洞 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去击链接才能触发XSS代码(服务器中没有这样的页面内容),一般容易出现在搜索页面。 存储型XSS:<持久化> 代...
XSShref输出js输出防范措施
qq_43814486的博客
05-05 9892
防御总的原则:根据实际情况对输入做过滤,对输出做转义 href输出漏洞:输出出现在a标签的href属性里面,可以使用javascript协议来执行js 后端: $message=htmlspecialchars($_GET['message'],ENT_QUOTES); $html.="<a href='{$message}'> 可以看到,虽然对htmlspecialchars()...
2.xss
weixin_41826065的博客
12-07 2225
XSS
初级安全入门——XSS注入的原理与利用
weixin_30872733的博客
04-16 893
XSS的简单介绍 跨站脚本攻击(Cross Site Scripting),为不层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户目的。 XSS危害: 流量劫持 获取用户cookie信息,盗取账号 篡...
xsshref输出防范
01-01
为了有效防范通过 `href` 属性进行的跨站脚本攻击 (XSS),应采取多层次的安全措施来确保应用程序的安全性。 #### 输入验证与清理 对于任何用户输入的内容,在存储或显示之前都应当经过严格的验证清理。特别是当...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值