`

伪造表单提交目的地,窃取数据

 
阅读更多
<!--伪造表单提交目的地,窃取数据 -->
<HTML>
<HEAD>
<title>action attack</title>
</head>
</body>
<!--1、伪造表单提交目的地,窃取数据 -->
<form name="myForm" action="a.action">
<input type="text" name="user" value="poison_kiss"/>
<input type="submit" value="submit"/> 
</form>
<!--如果在点提交之前在地址栏中输入javascript:document.myForm.action=b.action回车后,再点提交则输入框中的值就提交到了b.action去了。-->
<!--2、伪造数据绕过合法性验证-->
<center>
<form name="myForm" action="a.html" onsubmit="return !/\s+/.test(document.myForm.textDate.value) && /\d+/.test(document.myForm.numDate.value)||alert('请输入正确的格式!') || false;">
<input type="text" name="textDate"/>
<input type="text" name="numDate"/>
<input type="submit"/>
</form>
</center>
<!--提交之前,在浏览器地址栏中输入javascript:document.myForm.onsubmit=function(){return true;};void(0);然后回车,可以让验证失效。
-->
<!-- 3、采集数据,窃取网站内容,简单防御(<script>if (self!=top){top.location=self.location}</script>),(无敌一句:javascript:document.body.outerHTML)-->
</BODY>
</HTML>
分享到:
| 查询SQL求解
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    浅析JavaScript的安全性和执行效率.pdf

    2.1 伪造表单提交的目的地,从而窃取数据 黑客们可以通过修改 form 的 action 属性,改变表单提交的目的地,从而窃取客户端提交的数据。 2.2 跨站脚本攻击(XSS) 黑客们可以通过在 HTTP 请求的页面文档中注入 ...

    83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1

    为了防止CSRF,Web应用通常会使用csrf-token,一个随机且唯一的字符串,将其包含在表单提交中,服务器通过检查这个token来验证请求来源的合法性。然而,如果这个token可以被攻击者获取,那么攻击者就可以构造伪造的...

    php-security-guide.pdf

    - **2.1 Spoofed Form Submissions:**伪造表单提交是一种常见的攻击手段,攻击者可以模拟合法用户的请求。 - **2.2 Spoofed HTTP Requests:**除了伪造表单提交外,攻击者还可以伪造HTTP请求来执行恶意操作。 - **...

    JavaScript for Hackers.pdf

    3. **客户端数据收集**:xhr-formHarvester.js和cookieHarvester.js等代码展示了如何通过JavaScript收集用户表单数据和Cookie信息,这对于了解数据泄露风险和执行数据窃取攻击至关重要。 4. **页面篡改与Defacement...

    .NET 2.0 网站系统安全开发手册

    这种方法可以有效地防止恶意数据通过表单验证而进入系统。 - **优点**:能更全面地检测和阻止非法数据。 - **缺点**:实现较为复杂,增加开发成本。 --- #### 输出编码 **1. 输出的种类** 输出可以分为多种...

    详述前端安全问题及解决方案.docx

    这段代码会被前端程序直接显示而不经过充分的过滤,从而执行恶意脚本,攻击者可以通过这种方式窃取用户的Cookie、个人信息等敏感数据,或者利用这些信息进行进一步的非法活动。 **解决方法:** 1. **HTML实体编码:...

    Protecting Users against Phishing

    网络钓鱼攻击结合了社会工程学和技术欺骗手段来说服用户交出敏感信息(例如,在伪造网页上的表单中输入个人信息),攻击者可以利用这些信息进行经济获利。 近年来,网络钓鱼诈骗事件数量激增且手法愈发复杂,受到了...

    经典:《网站系统安全开发手册》

    如果不进行适当的编码处理,应用程序中的用户提交数据可能包含恶意脚本代码,这些代码在被其他用户加载时会被浏览器执行,从而导致安全威胁。 **3. 输出编码** - **HTML实体编码**: 将特殊字符转换为对应的HTML...

    前端安全概览及防范

    - **正确使用GET、POST和Cookie:** GET用于获取信息,POST用于提交数据,Cookie存储会话状态,合理使用可以降低CSRF风险。 - **使用Referer判断请求来源:** 通过检查HTTP头部的Referer字段,可以识别出非正常的...

    白帽子讲web安全(拍摄版)

    - **定义**:SQL注入是一种常见的Web攻击方式,攻击者通过向Web表单提交恶意SQL语句,以此达到欺骗服务器执行恶意的SQL命令的目的。 - **危害**:这种攻击可能导致敏感数据泄露、数据被篡改甚至整个数据库被破坏。 ...

    web前端黑客技术揭秘(全)_part1

    这通常发生在数据从用户输入到显示在页面上的过程中,如表单提交、URL参数、Cookie值等。 #### 2. XSS攻击的影响 攻击的影响可能包括: - **窃取cookie**:获取用户的登录凭证,如会话标识符。 - **会话劫持**:...

    白帽子讲安全Web安全

    Web安全是指针对Web应用进行的一系列安全防护措施,目的是防止非法用户对Web应用进行攻击,如信息泄露、数据篡改、服务拒绝等,从而确保Web应用的正常运行和用户信息的安全。Web安全领域常见的攻击技术包括SQL注入、...

    常见网络安全漏洞常规漏洞.pdf

    网络安全漏洞是网络系统中存在的缺陷或弱点,这些缺陷或弱点可以被攻击者利用,以破坏系统安全策略,达到窃取敏感数据、拒绝服务、篡改数据、提升权限等非法目的。在网络安全领域,对漏洞的了解和防护至关重要。本...

    web-attack

    Web攻击是指针对Web应用程序或服务器的恶意活动,其目的是窃取敏感信息、破坏服务或进行非法操作。在本文中,我们将深入探讨Web攻击的各种类型、它们的工作原理以及如何防范这些威胁。 1. SQL注入(SQL Injection)...

    阿里巴巴集团web安全标准Ver1.3

    - 对用户提交的数据进行严格的输入验证。 - 采用HTTP头部设置`Content-Security-Policy`以限制外部资源的加载。 ##### 2. Flash安全威胁 **安全威胁:** 虽然Flash已被逐步淘汰,但在某些情况下仍然可能遇到Flash...

    token-grabber-fun

    3. **Web应用安全**:了解跨站脚本(XSS)和跨站请求伪造(CSRF)等常见攻击方式,因为这些攻击可能被用来窃取令牌。 4. **编程语言基础**:要理解并运行token-grabber-fun,需要熟悉脚本所使用的编程语言,例如...

    Travel-App:单页网页,用户可以在其中计划行程

    4. **表单验证**:利用JavaScript验证用户输入,确保行程信息的完整性和准确性,例如检查日期的合理性、目的地的有效性等。 5. **路由管理**:使用如React Router或Vue Router这样的路由库,实现在单个页面内切换...

    浏览器地址栏欺骗漏洞挖掘.pdf

    浏览器地址栏欺骗是一种网络安全漏洞,攻击者通过伪造网站地址,欺骗用户相信他们正在访问的是一个可信的站点,而实际上可能正被引向恶意网站。这种欺骗技术主要利用了浏览器的各种特性,包括URL跳转、地址栏焦点、...

    Secure-Login-PHP:通过跨站点脚本,SQL INJECTION和会话劫持进行安全的登录身份验证和注释防护

    在项目中,有两个不同的注释版本,一个包含了所有可能的攻击示例,用于测试和教育目的,另一个则实现了针对这些攻击的身份验证防护。这有助于开发者了解攻击手段,以便更好地防御。 该项目还涉及到其他技术,如...

    HybridFusc.LinkLive.gajqnrm

    7. **Web开发安全**:对于开发者来说,了解如何编写安全的HTML和JavaScript至关重要,包括正确地转义用户输入、验证表单数据以及防止XSS和跨站请求伪造(CSRF)攻击。 综上所述,"HybridFusc.LinkLive.gajqnrm"涉及...

Magicbox
Global site tag (gtag.js) - Google Analytics