xss攻击

xss攻击简介:

XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

写一个简单的例子(当然这个不算是攻击,只能算是恶作剧罢了)

比如:做了一个表单

<form action=”” method=”post”> 内容:<input name=”te” type=”text”><br> <input name=”sub” value=”提交” type=”submit”> </form>

然后在下面获取到提交的内容

php代码我们一般这样写:

if(isset($_POST)){ $a=$_POST[‘te’]; echo $a;//或者存入数据库 }

这样如果在表单中提交这样的代码(<script>window.alert(‘弹出,弹出’);</script>)

是不能提交的!!可是我们需要存入数据库啊!!不能提交怎么办?如果你数据库中直接存入这样数据~~~你输出出来看看~~

第一:先解决存入数据库的问题

将提交的数据经过$a=htmlspecialchars($_POST[“te”]);处理,这样的数据就可以存入数据库中!!

第二:我就想把数据库中存入<script>window.alert(‘弹出,弹出’);</script>这样的数据库,你看怎么办!!!

解决办法:前面我总结过html处理函数中htmlspecialchars对应的一个函数htmlspecialchars_decode

附:存入数据库的函数需要经过htmlspecialchars处理!

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏加米谷大数据

技术干货 | MapReduce作业调度

可以通过设置mapred.job.priority属性或JobClient的setJobPriority()方法来设置优先级(在这两种方法中,可以选VERY_H...

28960
来自专栏程序生活

Python爬虫系列(五)360图库美女图片下载

这几天终于忙完毕设和学校的事情,终于有时间来写Python了(( ̄▽ ̄)~*)。前些天在群里看到有人讨论这个360美女图库 的爬取。自己今天也尝试下(蛮简单...

1.5K40
来自专栏源码之家

取消dedecms 推荐文章 标题加粗

12620
来自专栏蓝天

autoconf手册(一)

Autoconf   Creating Automatic Configuration Scripts   Edition 2.13, for Autoco...

10410
来自专栏FreeBuf

利用Pentestbox打造MS17-010移动杀器

1、前言 前段时间Shadow Broker披露了 Windows大量漏洞,甚至爆出黑客组织 Equation Group 对于Windows 远程漏洞 MS1...

40270
来自专栏walterlv - 吕毅的博客

Windows 10 四月更新,文件夹名称也能区分大小写了

发布于 2018-06-14 00:02 更新于 2018-09...

43330
来自专栏小白安全

小白博客 kali Linux - 取证工具

在本章中,我们将学习Kali Linux中的取证工具。 p0f p0f是一个工具,只要检查捕获的数据包,即使有问题的设备位于数据包防火墙之后,也可以识...

47490
来自专栏北京马哥教育

4个Linux服务器监控工具

下面是我想呈现给你的4个强大的监控工具。 htop – 交互式进程查看器 你可能知道在机器上查看实时进程的标准工具top。如果不知道,请运行$ top看看,运行...

49790
来自专栏FreeBuf

CVE 2017-0199漏洞利用的新姿势

近日从客户处捕获一枚邮件附件中的可疑word样本,以下是扫描结果,检测率貌似不高。 ? ? 手动分析吧。 文件md5:0b16b255918264667a9f0...

26450
来自专栏解Bug之路

解Bug之路-串包Bug

笔者很热衷于解决Bug,同时比较擅长(网络/协议)部分,所以经常被唤去解决一些网络IO方面的Bug。现在就挑一个案例出来,写出分析思路,以飨读者,希望读者在以后...

10210

扫码关注云+社区

领取腾讯云代金券