草庐IT

Xss

全部标签

php - 当您允许人们发布 RAW 嵌入代码时,如何保护自己免受 XSS 攻击?

Tumblr和其他博客网站允许人们发布来自youtube和所有视频网络的视频的嵌入代码。但是他们如何只过滤flash对象代码并删除任何其他html或脚本?甚至他们都有一个自动代码来通知您这不是有效的视频代码。这是使用REGEX表达式完成的吗?是否有一个PHP类可以做到这一点?谢谢 最佳答案 一般来说,使用正则表达式不是处理HTML的好方法:对于正则表达式,HTML不够规则:标准中允许的变体太多...浏览器甚至接受HTML无效!在PHP中,因为您的问题被标记为php,过滤用户输入的一个很好的解决方案是HTMLPurifier工具。一些
免受人们strongcodenoreferrerphpregex

php - 是否有明确的 PHP 反 XSS 库?

我已经知道XSS是如何工作的,但是找出所有注入(inject)恶意输入的不同方法并不是一种选择。我看到了几个库,但其中大多数都非常不完整、效率低下或GPL许可(你们什么时候会知道GPL不适合共享小库!使用MIT) 最佳答案 OWASP提供了一个编码库,用于处理各种情况。已过时:http://www.owasp.org/index.php/Category:OWASP_Encoding_Project现在在http://code.google.com/p/reform/OWASP的antiXSS特定库位于:http://code.go
phpsectionnoreferrerhttpsecurityinputxss

php - 是否有明确的 PHP 反 XSS 库?

我已经知道XSS是如何工作的,但是找出所有注入(inject)恶意输入的不同方法并不是一种选择。我看到了几个库,但其中大多数都非常不完整、效率低下或GPL许可(你们什么时候会知道GPL不适合共享小库!使用MIT) 最佳答案 OWASP提供了一个编码库,用于处理各种情况。已过时:http://www.owasp.org/index.php/Category:OWASP_Encoding_Project现在在http://code.google.com/p/reform/OWASP的antiXSS特定库位于:http://code.go
phpsectionnoreferrerhttpsecurityinputxss

php - XSS - 哪些 HTML 标签和属性可以触发 Javascript 事件?

我正在尝试编写一个安全且轻量级的基于白名单的HTML净化器,它将使用DOMDocument。为了避免不必要的复杂性,我愿意做出以下妥协:HTML注释已删除script和style标签一起剥离只返回body标签的子节点将验证或删除所有可以触发Javascript事件的HTML属性我已经阅读了很多关于XSS攻击和预防的文章,我希望我不要太天真(如果我是,请告诉我!)假设如果我遵循我上面提到的所有规则,我将远离XSS。问题是我不确定除了defaultJavascripteventattributes之外还有哪些其他标签和属性(在任何[X]HTML版本和/或浏览器版本/实现中)可以触发Java
JavascriptHTMLcodeli34phpsecurityxss

php - XSS - 哪些 HTML 标签和属性可以触发 Javascript 事件?

我正在尝试编写一个安全且轻量级的基于白名单的HTML净化器,它将使用DOMDocument。为了避免不必要的复杂性,我愿意做出以下妥协:HTML注释已删除script和style标签一起剥离只返回body标签的子节点将验证或删除所有可以触发Javascript事件的HTML属性我已经阅读了很多关于XSS攻击和预防的文章,我希望我不要太天真(如果我是,请告诉我!)假设如果我遵循我上面提到的所有规则,我将远离XSS。问题是我不确定除了defaultJavascripteventattributes之外还有哪些其他标签和属性(在任何[X]HTML版本和/或浏览器版本/实现中)可以触发Java
JavascriptHTMLcodeli34phpsecurityxss

php - 我可以用来测试我的页面输入的 XSS 示例?

我遇到了XSS问题。具体来说,我有一个单独的注入(inject)JS警报,表明我的输入存在漏洞。我对XSS进行了研究并找到了示例,但由于某种原因我无法让它们工作。我能否获得XSS示例,我可以将其放入我的输入中,当我将其输出给用户时,我会看到某种变化,例如警报,知道它是易受攻击的吗?我正在使用PHP,我将实现htmlspecialchars(),但我首先尝试重现这些漏洞。谢谢! 最佳答案 你可以使用这个firefox插件:XSSMeXSS-MeistheExploit-MetoolusedtotestforreflectedCross
用来phpthesectionXSSjavascriptsecurity

php - 我可以用来测试我的页面输入的 XSS 示例?

我遇到了XSS问题。具体来说,我有一个单独的注入(inject)JS警报,表明我的输入存在漏洞。我对XSS进行了研究并找到了示例,但由于某种原因我无法让它们工作。我能否获得XSS示例,我可以将其放入我的输入中,当我将其输出给用户时,我会看到某种变化,例如警报,知道它是易受攻击的吗?我正在使用PHP,我将实现htmlspecialchars(),但我首先尝试重现这些漏洞。谢谢! 最佳答案 你可以使用这个firefox插件:XSSMeXSS-MeistheExploit-MetoolusedtotestforreflectedCross
用来phpthesectionXSSjavascriptsecurity

php - XSS 攻击绕过 value 属性中的 htmlspecialchars() 函数

假设我们有这个表单,用户注入(inject)恶意代码的可能部分如下...>...我们不能简单地放置一个标签,或者一个javascript:alert();调用,因为value将被解释为字符串,而htmlspecialchars会过滤掉,',",所以我们不能用引号关闭该值。我们可以使用String.fromCode(.....)绕过引号,但我仍然无法弹出一个简单的警告框。有什么想法吗? 最佳答案 另外,值得一提的是,允许人们将HTML或JavaScript注入(inject)您的页面(而不是您的数据源)本身并没有固有的安全风险。已经存
htmlspecialchars绕过sectioncodephpxsssecurity

php - XSS 攻击绕过 value 属性中的 htmlspecialchars() 函数

假设我们有这个表单,用户注入(inject)恶意代码的可能部分如下...>...我们不能简单地放置一个标签,或者一个javascript:alert();调用,因为value将被解释为字符串,而htmlspecialchars会过滤掉,',",所以我们不能用引号关闭该值。我们可以使用String.fromCode(.....)绕过引号,但我仍然无法弹出一个简单的警告框。有什么想法吗? 最佳答案 另外,值得一提的是,允许人们将HTML或JavaScript注入(inject)您的页面(而不是您的数据源)本身并没有固有的安全风险。已经存
htmlspecialchars绕过sectioncodephpxsssecurity

XSS cookie伪造攻击

环境系统:windows7靶场:DVWA场景:chrome对firefox的个人cookie盗用伪造IP:192.168.98.128端口:未占用的任意端口实施1.首先确保firefox登录状态,即存在cookie2.构造获取cookie的js请求脚本document.write('document.cookie+'"/>'//利用img标签特性,生成src的GET请求并获取请求页面cookie,然后作为图片去展示;);//通过document.write写到网页中来-执行img标签-去触发指令-生成一个含cookie的GET请求//因为src=“”中引号内容只会作为数据字符串进行展示,所以需
伪造攻击noopenertabindexsection网络安全
32333435363738