Web安全基础-反射型XSS

7978877

XSS 全称Cross Site Scripting,即跨站脚本攻击:指攻击者在⻚⾯中注⼊恶意的脚本代码,当受害者访问该⻚⾯时,恶意代码会在其浏览器上执⾏。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。反射型XSS,恶意代码不存储在服务器,由客户端解析。

图片[1]-Web安全基础-反射型XSS-黎洛云网络

输入Li lei,正常返回如下:

图片[2]-Web安全基础-反射型XSS-黎洛云网络

如果输入<script>alert(1)</script>?

http://127.0.0.1/dvwa/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%281%29%3C%2Fscript%3E#

页面输出:<script>alert(1)</script> (chrome中会拦截)

图片[3]-Web安全基础-反射型XSS-黎洛云网络

0x0 案例

页面输出:<img src=1 onerror=alert(1)>

图片[4]-Web安全基础-反射型XSS-黎洛云网络

0x1 防御XSS

  1. 过滤⽤户输⼊的特殊字符
  2. 过滤⽤户输⼊的XSS敏感词
  3. 实体化HTML字符
  4. 定义⽤户输⼊的⽩名单
© 版权声明
本站技术资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权请联系邮箱i@lho.cc删除!
THE END
网络知识
# 安全# WEB# xss
喜欢就支持一下吧!
点赞877 分享
十二.的头像-黎洛云网络钻石会员
世界,您好!-黎洛云网络
世界,您好!
世界,您好!
3年前 1.9W+
“你下载国家反诈中心APP了吗?”-黎洛云网络
“你下载国家反诈中心APP了吗?”
“你下载国家反诈中心APP了吗?”
3年前 1.8W+
黎洛云聚合多渠道便捷登录平台接入【免费社会化登录计划】-黎洛云网络
黎洛云聚合多渠道便捷登录平台接入【免费社会化登录计划】
黎洛云聚合多渠道便捷登录平台接入【免费社会化登录计划】
2年前 1.5W+
关于黎洛云综合门户平台介绍-黎洛云网络
关于黎洛云综合门户平台介绍
关于黎洛云综合门户平台介绍
3年前 1.3W+
每天60秒读懂世界新闻资讯-黎洛云网络
每天60秒读懂世界新闻资讯
每天60秒读懂世界新闻资讯
3年前 1.3W+
最新青龙面板京东脚本库(持续更新中)-黎洛云网络
最新青龙面板京东脚本库(持续更新中)
最新青龙面板京东脚本库(持续更新中)
9个月前 1.1W+