原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
跨站脚本漏洞分享;5、总结提问;Crosssitescripting简称XSS
原理:
利用网站的漏洞向网站的页面注入JAVASCRIPT等脚本内容。
根源:程序的输入、输出没有考虑平安因素。;
XSSCheatSheet
了解不同浏览器和各种特殊的HTML标签如何执行脚本。
XSS需要使用的关键字
;!--XSS={()}
各类伪协议头:
Javascript:vbscript:;
CSS样式表脚本注入
style=xss:expression(eval(String.fromCharCode(105,102,40,119,105,110,100,111,119,46,
120,33,61,34,49,34,41,123,97,108,101,114,116,40,34,120,115,115,34,41,59,119,105,110,100,111,119,46,120,61,34,49,34,59,125)))
expression变形。
Expression实际内容if(window.x!=1){alert(xss);window.x=1;}
;;
非持久型XSS
需要从URL传参,点击链接触发。
持久型XSS
XSS内容已存储到数据库,写到固定页面。
DOMXSS
JAVASCRIPT处理数据输出出现漏洞。
浏览器的漏洞造成的XSS
;表单值容易出现XSS
搜索框、信息提示、个人资料、友情链接、背景图片等等。
各类表单值、隐藏的表单值都很危险。;跨站脚本漏洞及案例;跨站脚本漏洞及案例;跨站脚本漏洞及案例;跨站脚本漏洞及案例;跨站脚本漏洞及案例;跨站脚本漏洞及案例;跨站脚本漏洞及案例;跨站脚本漏洞及案例;看图不说话、你懂的;高级案例;高级案例;高级案例;
使用htmlspecialchars翻开引号参数
htmlspecialchars〔$xss,ENT_QUOTES〕
==amp
==quot;
==#039;//需要翻开引号参数
==lt;
==gt;;
使用qsafehtml平安类
UBB平安类
富文本平安类;
跨站脚本漏洞和Web应用紧密相关,同时又涉及到客户端浏览器的平安特性。
Web平安已经不是单一的程序输出输出问题,必须从效劳端、客户端、应用多方面考虑。;
文档评论(0)