web安全初探

axiejundong 2019-07-01

web安全初探

XSS攻击

XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

分类

  1. 存储型(读取数据、富文本)

例如:利用图片加载错误,执行脚本;

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>xss存储型攻击</title>
</head>
<body>
    <div id='test'></div>
    <script>
        var text = "<img src='404.html' onerror='alert(1)'>" // 从后台读取的数据
        var $test = document.querySelector('#test');
        $test.innerHTML = text;
    </script>
</body>
</html>

防范: 对html经行编码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>防范xss攻击(html-encode)</title>
</head>
<body>
    <div id='test'></div>
    <script>
        // 1. 富文本;白名单
        // 2. 纯文本;html encode  , js encode
        var htmlEscape = function (str) { // 在展示的时候转义
            return String(str)
                .replace(/&/g,'&amp;')
                .replace(/"/g,'&quot;')
                .replace(/'/g,'&#39;')
                .replace(/</g,'&lt;')
                .replace(/>/g,'&gt;')
        }

        var htmlUnescape = function (str){
            return String(str)
                .replace(/&amp;/g,'&')
                .replace(/&quot;/g,'"')
                .replace(/&#39;/g,"'")
                .replace(/&lt;/g,'<')
                .replace(/&gt;/g,'>')
        }

        var text = "<img src='404.html' onerror='alert(1)'>" // 从后台读取的数据
        var $test = document.querySelector('#test');
        $test.innerHTML = htmlEscape(text);
    </script>
</body>
</html>
  1. 反射型(也叫非持久型XSS,是指发生请求时,XSS代码出现在请求URL中,作为参数提交到服务器,服务器解析并响应。响应结果中包含XSS代码,最后浏览器解析并执行)

例如:通过地址栏传输数据

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>xss反射性攻击</title>
</head>
<body>
    <div id='test'></div>
    <script>
        // <img src='404.html' onerror='alert(1)'>
        var $test = document.querySelector('#test');
        $test.innerHTML = decodeURIComponent(window.location.hash);
    </script>
</body>
</html>

hajack页面劫持

通过嵌套iframe,伪造真实网页获取用户信息;

例如:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>页面劫持</title>
</head>
<body>
    <div style="position: absolute;left: 16px;top:16px;opacity: 0;background: red">
            账号:<input id='haha' oninput="changValue()" type="text"><br/>
            密码:<input type="text"><br/>
    </div>
    <iframe id="iframe" src="./hikjack.html" frameborder="0"></iframe>

    <script>
        function changValue(a) {
            console.log(a);
        }
        window.onload = function(){
            let oiframe = document.querySelector('#iframe').contentWindow;
            let ohaha = document.querySelector('#haha');
            let _ipt = oiframe.document.querySelector('input');
            window.changValue = function(){
                _ipt.value = ohaha.value;
            }
        }
    
    </script>
</body>
</html>

防范: 可以通过检测是否被嵌套来预防

if(window.parent != window){
    alert('hikjack')
}

CSRF跨站伪造请求

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

例如: 发布诱导链接,通过iframe提交表单;(注意:发送时会带上你请求域名下的cookie)

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>csrf攻击</title>
</head>
<body>
    <iframe src="" name="csrf-from"></iframe>
    <form target="csrf-from" action="http://127.0.0.1:3001/csrf" method="post">
        <input type="text" name="name" value="111">
        <input type="submit" value="提交">
    </form>
</body>
</html>

防范:1. 尽量使用POST,限制GET;get的Referer Check维护成本高;

2. 加验证码;
3. 通过token验证;

SSRF 服务器伪造请求

是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

例如:

  1. 可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的);
  2. 攻击运行在内网或本地的有漏洞程序(比如溢出);
  3. 可以对内网Web应用进行指纹识别,原理是通过请求默认的文件得到特定的指纹
  4. 攻击内网或外网有漏洞的Web应用
  5. 使用file:///协议读取本地文件

防范手段:

  1. 限制域名,不允许提交内网域名;
  2. 限制内网ip,不允许提交内网ip;
  3. 限制端口;
  4. token验证;
  5. 禁用不需要的协议;(可以防止类似于file:///,gopher://,ftp:// 等引起的问题)

通过第三方验证,修改验证后跳转的地址,窃取用户信息

例如:扫码登陆

axiejundong

axiejundong

相关推荐

防XSS攻击过滤器

private const string strRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*

sswqycbailong / 0评论 2020-07-28

xss防范小知识

在Web安全中,xss攻击绝对算是一种非常常见的攻击方式了,它能够窃取用户的隐私信息,比如cookie,也能够做一些非用户意图的操作来达到攻击目的。xss攻击是一种非法脚本的插入与执行攻击,全称为 cross site script ,即跨站脚本攻击。通常

csxiaoqiang / 0评论 2020-07-26

xss.haozi.me 练习

先打算从比较方便的可以在线的练习开始,所以并没有用最常用的DVWA,而就直接用的在线的这个xss靶场开始。服务端仍然没有进行过滤,只是这次的输出并不是直接输出,而是加入在textarea中,所以现将其闭合在输出即可。对于<textarea>标签

码农成长记 / 0评论 2020-07-19

极致CMS两处漏洞复现/存储xss/文件上传Getshell

根据一路追踪发现目录A是网站目录的后台文件,后端文件审计没问题来看看前端文件tql代码审计发现是问题出现在前端文件article-list.html内的问题191行这里这里没有实体化编码导致的后台存储xss漏洞输出函数未经过滤没有实体化编码。{field:

layloge / 0评论 2020-07-05

百度编辑器(ueditor)踩坑,图片转存无法使用

在使用 百度编辑器 的过程中碰到了一些问题,图片转存功能无法使用, 即便是疯狂地在官方 Demo、文档、论坛甚至是 GitHub 上也没找到理想的答案。问题描述默认情况下,从 Word 中复制的内容粘贴在编辑器时,图片不会自动上传保存,除非单独复制粘贴图片

layloge / 0评论 2020-06-26

Web前端必备基础知识点分享

今天跟新手朋友们分享Web前端必备基础知识点,希望对你们有所帮助!一来可以提高后端处理的效率,二来可以提高后端数据的安全。后端不要动态sql语句,使用存储过程查询语句。限制用户访问数据库权限。后端如果出现异常的话,要使用自定义错误页,防止用户通过服务器默认

liangjielaoshi / 0评论 2020-06-25

java 拦截器解决xss攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者

csxiaoqiang / 0评论 2020-06-16

XSS BOT编写

而它支持chrome webdriver、firefox webdirver、PhantomJS等,但是呢前2个就需要有桌面,而我们的docker环境是没有桌面的,所以就只能选择PhantomJS了。$sql = "SELECT password

某先生 / 0评论 2020-06-13

StringEscapeUtils的常用使用,防止SQL注入及XSS注入

StringBuffer sql = new StringBuffer("select key_sn,remark,create_date from tb_selogon_key where 1=1 "); if(!

ItBJLan / 0评论 2020-06-11

了解 OWASP TOP 10

输入时将一些包含指令的数据发送给解析器,解释器当成命令执行。xss会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用xss还可以执行拒绝服务攻击。同时,使用这些组件会破坏应用程序防御,造成各种攻击产生严重的后果。

layloge / 0评论 2020-06-07

XSS漏洞的基本原理

XSS,跨站脚本攻击。它指的是恶意攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。反射型XSS也被称为非持久性XSS,攻击

csxiaoqiang / 0评论 2020-06-03

xss(跨站脚本攻击)

  xss造成的原因是因为对用户插入的数据没有进行过滤,导致用户可以上传一些非法数据,对服务器数据进行盗取。  xss的形成一定是伴随着输入和输出的。

sswqycbailong / 0评论 2020-06-01

XSS Challenges 记录与反思

XSS Challenges是出自某位日本大佬之手,一共十九关。我没有完全记录下来,前八关基本上不怎么需要思考就能做出来的,方法也不止一种。第九关是利用UTF-7并且对ie版本号有要求也不具体操作了,网上有很多关于这个挑战的教程,想了解的可以多看看。也是需

layloge / 0评论 2020-05-30

XSS跨站脚本攻击

XSS全称跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在

码农成长记 / 0评论 2020-05-28

C# 防XSS攻击 示例

字符串:<script></script><style>alert</style><h1>111</h1><h2>222</h2>drop delete <

qidu / 0评论 2020-05-26

20175110 王礼博 Exp 9 Web安全基础

具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。与XSS攻击相比,CSRF攻击往往不大流行和难以

zhuangnet / 0评论 2020-05-20

2019-2020-2 20175313 张黎仙《网络对抗技术》Exp 8 Web基础

掌握Web前端、Web后端相关语法基础以及编写出用户能登陆,登陆用户名密码保存在数据库中,登陆成功显示欢迎页面的代码。通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。跨站脚本攻击,为不和层叠样式

zhuangnet / 0评论 2020-05-19

《白帽子讲Web安全》读后感(一)

就是对数据做等级划分,互联网安全的核心问题,是数据安全的问题。做资产等级划分的过程,需要与各个业务部门的负责人一一沟通,了解公司最重要的资产是什么,他们最看重的数据是什么。注意与“风险分析”区别。威胁分析就是把所有的威胁都找出来。浏览器的同源策略,限制了来

xiaoemo0 / 0评论 2020-05-16

CSRF跨站请求伪造与XSS跨域脚本攻击讨论

今天和朋友讨论网站安全问题,聊到了csrf和xss,刚开始对两者不是神明白,经过查阅与讨论,整理了如下资料,与大家分享.登录受信任网站A,并在本地生成Cookie。在不登出A的情况下,访问危险网站B。    <input type=‘hidden‘

码农成长记 / 0评论 2020-05-10

安全测试

例如在知道一个页面的绝对url地址后,该页面有个session变量叫login-in,如果login-in为False时访问该页面跳转到登录页面,为True可正常访问。由于请求都是真实的,但是请求量过大导致服务器崩溃。连接数量过大时会导致服务器资源崩溃。c

today0 / 0评论 2020-05-04

如何避免CSRF攻击?

如何避免CSRF攻击?CSRF跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本,但它与XSS非常不同,XSS利用站点内的信任用户,而CS

layloge / 0评论 2020-05-03

xss-[安全盒子王松]

攻击者在url中插入xss代码,服务端将url中的xss代码输入到页面上.攻击者将带有xss的url发给用户.message_text未经处理就嵌入到html页面,xss!Service workers 本质上充当Web应用程序与浏览器之间的代理服务器,也

zhuangnet / 0评论 2020-05-02

常见的WEB安全及防护

常见的web攻击有 XSS ,CSRF;    恶意JS脚本属于用户发送给网站请求中的一部分,随后网站又将这些部分返回给用户,恶意脚本在页面中被执行,一般发生在前后端一体的应用中,服务端逻辑会改变最终的网页代码。    目前更流行前后端分离的项目,反射型X

shayuchaor / 0评论 2020-04-26

test

基本WAF都针对常用的弹窗函数做了拦截,如alert()、prompt()、confirm(),另外还有代码执行函数eval(),想要绕过去也比较简单,我们以alert为例,其实只需要分割alert和()即可,例如:。添加空格、TAB、回车、换行:aler

码农成长记 / 0评论 2020-04-19

常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御

而以分号字元为不同命 令的区别。等 的条件式)2).SQL命令对于传入的字符串参数是用单引号字元所包起来。3).SQL命令中,可以注入注解预防:1).在设计应用程序时,完全使用参数化查询来设计数据 访问功能。4).其他,使用其他更安全的方式连接SQL数据

sunlizhen / 0评论 2020-04-10

xsser和XSStrike

xsser是一款用于针对Web应用程序自动化挖掘、利用、报告xss漏洞的框架。XSStrike是一款检测Cross Site Scripting的高级检测工具。XSStrike不是像其他工具那样注入有效负载并检查其工作,而是通过多个解析器分析响应,然后通过

zhuangnet / 0评论 2020-04-07

Web安全——跨站脚本攻击(XSS)

我只会大概提及它的攻击原理和预防方法,具体的实现和深入研究还请大家自行百度,因为只有真正需要用到才会去详细了解,这里我只为web安全小白做知识扫盲。因为博主目前接触最多的服务端语言是JAVA所以例子都从java web项目来讲。持久型XSS将恶意代码提交给

fengyun / 0评论 2020-03-23

对xss攻击和csrf攻击的理解

用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。发出请求时,XSS代码出现在url中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,所以叫反射型X

码农成长记 / 0评论 2020-03-23

防止SQL注入和XSS注入的方法总结

对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。一旦出现SQL注入,一切都是零!谁的代码不按要求进行开发防注入,就处罚谁,而且要狠狠

sswqycbailong / 0评论 2020-03-07

StringEscapeUtils的常用使用,防止SQL注入及XSS注入

StringEscapeUtils类可以对html js xml sql等代码进行转义来防止SQL注入及XSS注入。select * from users where 1=1 and username like ‘%aaa‘‘ or ‘‘1=1‘。sele

qshpeng / 0评论 2020-03-06

反射型xss

xss注入的关键:1、第一个是用户能够控制输入 2、原本程序要执行的代码,拼接了用户输入的数据xss主要拼接的是什么?sql注入拼接的是操作数据库的sql语句。xss拼接的是网页的html代码。我们一般会拼接出合适的html代码去执行恶意的js语句。盗取c

csxiaoqiang / 0评论 2020-03-05

Dedecms存在储存型跨站脚本漏洞

Dedecms是一款开源的PHP开源网站管理系统。Dedecms会员功能carbuyaction.php中的address、des、email、postname参数存在存储型XSS漏 洞,攻击者可利用漏洞获得管理员cookie。测试环境:DedeCMS-V

xiaof / 0评论 2020-03-05

Catfish(鲶鱼) Blog V1.3.15存储型 xss

Catfish(鲶鱼) Blog前台文章评论处存在 存储型xss漏洞。评论加入超链接,这里因为有前端过滤所以不能直接输入 payload,随便填写,然后F12修改超链接地址为 xsspayload. 然后访问文章,点击评论触发xss漏洞。emmm一个挺简单

zhuangnet / 0评论 2020-03-05

常见的几种Web安全问题测试简介

它指的是恶意往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。或把url请求中参数改为,如果页面弹出对话框,表明此处存在一个XSS 漏洞

abdstime / 0评论 2020-03-01

6.XSS攻击方式及防御措施

攻击方式:由于客户端JavaScript脚本修改页面DOM结构时引起浏览器DOM解析所造成的一种漏洞攻击

zhuangnet / 0评论 2020-02-28

简述XSS与CSRF区别

    通常这一类xss危害较低,对网站没有什么严重的影响,具体表现在用户在搜索框输入xss语句返回弹框,仅出现一次。    存储型对网站危害较大,用户插入xss语句后,恶意语句会存入网站数据库中,用户访问过程都会出现弹框。XSS与CSRF是包含关系 CS

zhuangnet / 0评论 2020-02-26

xss练习闯关

先输入xxx发现就存在于<textarea></textarea>之前显示,那么我们需要把前后进行闭合,最后才会显示我们输入的内容。先输入xxx发现输的内容在双引号内,发现前面有三个双引号,那么肯定是没有闭合。我们输入前面任意一个p

xiaof / 0评论 2020-02-26

Django debug page XSS漏洞(CVE-2017-12794)

显示用户已创建。4.这个异常被拼接进The above exception was the direct cause of the following exception,最后触发XSS。

时光如瑾雨微凉 / 0评论 2020-02-24

Pikachu-XSS(跨站脚本)

Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为we

csxiaoqiang / 0评论 2020-02-23

XSStrike工具的安装使用

如果跟上--updata选项,XSStrike将检查更新。如果有更新的版本可用,XSStrike将下载更新并将其合并到当前目录中,而不会覆盖其他文件。

kikaylee / 0评论 2020-02-18

XSS跨站测试代码

‘><script>alert(document.cookie)</script>=‘><script>alert(document.cookie)</script><script>a

xiaof / 0评论 2020-02-17

filter_var 函数()使用javascript伪协议绕过执行xss

escape过滤器来过滤link,而实际上这里的escape过滤器,是用PHP内置函数htmlspecialchars来实现的htmlspecialchars函数定义如下:。" (双引号) =============== &quot;

xiaof / 0评论 2020-02-16

XSS(跨站脚本)概述

Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:。XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名

sswqycbailong / 0评论 2020-02-16

web安全(xss攻击和csrf攻击)

  如上图,在B网站引诱用户访问A网站,  1)token验证:登陆成功后服务器下发token令牌存到用户本地,再次访问时要主动发送token,浏览器只能主动发cookie,做不到主动发token.   不需要你做任何的登录认证,它会通过合法的操作,向你的

waitui00 / 0评论 2020-02-14

pikachu XSS后台的使用和安装

点提交,会跳转到首页,

csxiaoqiang / 0评论 2020-02-12

Pikachu漏洞平台---XSS(Cross-Site Scripting) 跨站脚本

XSS概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS;随便输入

xiaof / 0评论 2020-02-12

漏洞利用:验证绕过,XSS利用,Cookic盗用,文件上传

抓包修改文件后缀为php,然后允许数据包通过。将数据包step值修改为2,并添加passed_captch=true,然后发送即可绕过。启动代理模式,点击instruction,获取数据包。将impossible的cookic改为之前获取的low的cook

码农成长记 / 0评论 2020-02-10

XXS和SQL注入的预防

实施XSS攻击需要具备两个条件: 1:需要向web页面注入恶意代码; 2:这些恶意代码能够被浏览器成功的执行。这个漏洞可用于钓鱼攻击或者窃取用户cookie 。从而登录他人账户。-- 匹配含有字符: document.cookie -->

明月清风精进不止 / 0评论 2020-01-31

XSS攻击与防御

对&进行转义,要放在前面str = str.replace;也可以这也样处理,转为 json 格式:forForJs: JSON.stringfy. CSP 指的是内容安全策略,为了缓解很大一部分潜在的跨站脚本问题,浏览器的扩展程序系统引入了内容安

sswqycbailong / 0评论 2020-01-31

DWVA-XSS部分练手闯关

echo ‘<pre>Hello ‘ . $_GET[ ‘name‘ ] . ‘</pre>‘;分析代码 不存在任何过滤直接输入:<script>alert;</script>. 看代码前先学一个函数str_

sswqycbailong / 0评论 2020-01-29