Web安全基础-反射型XSS

7981877

XSS 全称Cross Site Scripting,即跨站脚本攻击:指攻击者在⻚⾯中注⼊恶意的脚本代码,当受害者访问该⻚⾯时,恶意代码会在其浏览器上执⾏。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。反射型XSS,恶意代码不存储在服务器,由客户端解析。

图片[1]-Web安全基础-反射型XSS-黎洛极客网

输入Li lei,正常返回如下:

图片[2]-Web安全基础-反射型XSS-黎洛极客网

如果输入<script>alert(1)</script>?

http://127.0.0.1/dvwa/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%281%29%3C%2Fscript%3E#

页面输出:<script>alert(1)</script> (chrome中会拦截)

图片[3]-Web安全基础-反射型XSS-黎洛极客网

0x0 案例

页面输出:<img src=1 onerror=alert(1)>

图片[4]-Web安全基础-反射型XSS-黎洛极客网

0x1 防御XSS

  1. 过滤⽤户输⼊的特殊字符
  2. 过滤⽤户输⼊的XSS敏感词
  3. 实体化HTML字符
  4. 定义⽤户输⼊的⽩名单
© 版权声明
本站技术资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权请联系邮箱i@daib.cn删除!
THE END
网络知识
# 安全# WEB# xss
喜欢就支持一下吧!
点赞877赞赏 分享
十二.的头像-黎洛极客网钻石会员
最新青龙面板京东脚本库(持续更新中)-黎洛极客网
最新青龙面板京东脚本库(持续更新中)
最新青龙面板京东脚本库(持续更新中)
2年前 2.1W+
“你下载国家反诈中心APP了吗?”-黎洛极客网
“你下载国家反诈中心APP了吗?”
“你下载国家反诈中心APP了吗?”
4年前 1.9W+
世界,您好!-黎洛极客网
世界,您好!
世界,您好!
4年前 1.9W+
黎洛云聚合多渠道便捷登录平台接入【免费社会化登录计划】-黎洛极客网
黎洛云聚合多渠道便捷登录平台接入【免费社会化登录计划】
黎洛云聚合多渠道便捷登录平台接入【免费社会化登录计划】
3年前 1.5W+
关于黎洛极客网相关介绍-黎洛极客网
关于黎洛极客网相关介绍
关于黎洛极客网相关介绍
4年前 1.4W+
每天60秒读懂世界新闻资讯-黎洛极客网
每天60秒读懂世界新闻资讯
每天60秒读懂世界新闻资讯
4年前 1.3W+