腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(4325)
视频
沙龙
1
回答
自动触发元标记的HTML事件处理程序
我在客户端的网页上找到了一个持久的
XSS
,并希望为他们制作一个工作的PoC,以向他们展示危险。该标记看起来如下所示: "onload=alert() b=“这将允许我演示一个更严重的威胁向量,因为那时我可以包括
任意
的
JS
,以便为自己购买更多的空间(从而为BeEF即使我不能包含
浏览 3
提问于2015-12-24
得票数 1
1
回答
是否可以在以下上下文中使用jQuery的.attr(attributeName,value)方法
执行
XSS
攻击?
、
给出了以下html片段,它是在html文件中静态键入的:当攻击者可以在以下上下文中为变量unsafe_string提供
任意
值时,是否可以
执行
XSS
攻击:我的问题是:是否有可能
突破
属性值,以便注入和
执行
一些恶意代码?
浏览 1
提问于2019-02-11
得票数 1
回答已采纳
1
回答
XSS
有效负载向服务器发送请求而不关闭标记
、
、
我正在测试一个没有
XSS
的网站。因此,我认为将
XSS
升级为一个有效的bug是个好主意。我需要向我的服务器发出请求,但问题是关闭标记>或正斜杠,/被转义,但其他一切都正常。事件处理程序也可以工作。有没有办法从这些事件处理程序外部调用javascript文件,以便我可以
执行
脚本? 实际上,我想注入第三部分
js
文件,没有脚本标记或任何关闭标记。
浏览 0
提问于2022-08-17
得票数 0
回答已采纳
1
回答
ng-bind和ng-bind-html如何阻止
XSS
?
、
、
、
我一直在尝试研究Angular
JS
上的
XSS
,发现ng-bind和ng-bind-html阻止了
XSS
阻止服务器站点中已经由html-encode编码的
任意
用户输入。这到底是如何工作的呢?有没有什么方法可以绕过它,这样
XSS
就可以
执行
了?
浏览 40
提问于2016-09-15
得票数 2
1
回答
为什么setInterval对
XSS
不安全?
、
、
我的理解是,规则#3暗示攻击者可以绕过任何
XSS
过滤器,如果您使用setInterval的话。这里有一个类似的问题:不幸的是,的答案并没有帮助我。
浏览 4
提问于2020-07-13
得票数 3
1
回答
XSS
攻击所需输入文本框的最小大小
<input name="userName" type="text" id="userID" maxlength="8"/></td><script type="javascript>hello</script>, 由于maxlength的
限制
,不能输入的<
浏览 0
提问于2013-02-07
得票数 3
回答已采纳
1
回答
我的PHP代码易受
XSS
攻击吗?
、
、
每次他们更改输入元素中的某些内容时,我都希望使用自己的设置
执行
这个javascript代码,并显示一个预览。 <body></body>这段代码易受
XSS
攻击吗?如果是的话,我怎样才能防止这种情况发生?
浏览 1
提问于2016-01-10
得票数 2
回答已采纳
1
回答
为什么有些人认为二阶(又称持久性)
XSS
不是真正的
XSS
?
、
我正在阅读“Web应用程序黑客手册”,它讨论了一阶
XSS
和二阶
XSS
之间的区别。它提到反射
XSS
如何利用查询
字符
串params的不完全或不存在的散列来
执行
任意
脚本到用户的DOM中,而不将任何恶意代码持久化到应用程序的数据库,以及二阶
XSS
实际上如何持久化该恶意代码,并在稍后某个时候在用户的DOM中
执行
。在第二部分中,受害者查看包含攻击者数据的页面,在受害者的浏览器中
执行
脚本时
执行
恶意代码。因此,该漏洞有时也称为二阶跨
浏览 1
提问于2017-06-05
得票数 1
回答已采纳
2
回答
XSS
突破
了JSON.parse和href属性
、
我有一个非常复杂的情况,在上传带有恶意文件名的jpg文件时,我尝试
执行
存储的
XSS
攻击。<div href="https:
浏览 0
提问于2018-05-31
得票数 5
2
回答
如何使用nginx设置HttpOnly响应头?
、
、
、
、
我们使用节点
js
和nginx作为Web服务器。如何通过在nginx设置中添加HttpOnly标志来保护Cookies?
浏览 21
提问于2017-03-09
得票数 1
3
回答
不接受超过20个
字符
的字段上的跨站点脚本验证
、
、
有一个文本字段,它不接受超过20个
字符
(服务器端验证)。我插入了以下代码来检查
XSS
(来自RSnake的
XSS
备忘单):并验证了<
XSS
verses <
XSS
的源代码,以查看它是否易受攻击。我在源代码中找到了<
XSS
,这表明这个字段容易受到跨站点脚本的攻击。现在,我正在尝试创建一些代码,这些代码应该小于或等于20个
字符
,并且可以在这个字段上<
浏览 0
提问于2011-06-14
得票数 11
回答已采纳
1
回答
简单地评论一下WordPress会伤害我的系统(CVE-2016-4567)吗?
、
、
flash/FlashMediaElement.正如2.21.0之前的MediaElement.
js
和4.5.2之前的WordPress中使用的那样,跨站点脚本(
XSS
)漏洞允许远程攻击者通过查询
字符
串注入
任意
浏览 0
提问于2016-06-01
得票数 2
回答已采纳
2
回答
window.location = window.location易受
XSS
影响吗?
、
、
通过DOM操作对该变量进行的任何更改都将导致页面重新加载/加载攻击者页,因此这些行将无法使用更改的值
执行
,因此不适合跨站点脚本攻击。 是对的吗?
浏览 4
提问于2016-07-17
得票数 8
回答已采纳
1
回答
XSS
攻击允许
JS
文件上传的网站?
、
、
、
考虑一个允许用户上传
任意
JS
文件的网站example.com,这些文件随后存储在服务器上,并提供给具有
JS
内容类型的访问者。攻击者可以利用这个来对example.com
执行
XSS
攻击吗?如果您只是将受害者指向上传的
JS
文件的URL,浏览器将下载并显示代码,而不是
执行
它。除非存在其他漏洞,否则攻击者无法上载HTML文件或强制现有HTML文件包含脚本。我知道文件上传存在很多安全问题,但这里我只对
XSS
的潜力感兴趣,如果您允许上传
JS
的话。
浏览 0
提问于2020-01-23
得票数 2
4
回答
当web应用程序将数据从小写转换为大写时,如何
执行
XSS
?
、
someFunction('dataFromServer', '0');">link</a><a href="#" onclick="someFunction('','0');ALERT(
浏览 0
提问于2016-03-17
得票数 13
回答已采纳
2
回答
MS access查询从
字符
串中提取9位数字
基本上,从表中的字母数字
字符
串中,我需要取出
任意
9位数字。它们总是以0开头。这些数字不会有任何
突破
。我也倾向于使用查询检索这9位数字。把拉出的号码单独放在另一列里.只有19位数 我有下面这个数字,我只是不知道如何用它来
限制
长度,就像
字符
串有其他的东西一样,比如地址的一部分等等。
浏览 0
提问于2018-09-12
得票数 0
1
回答
这段代码易受
XSS
攻击吗?
、
我有一个接受param url并将其传递给exec()的函数。 name = name.replace(/[\[]/, "\\[").replace(/[\]]/, "\\]"); if (results) return decodeURIComponent(results[1].repl
浏览 0
提问于2022-08-30
得票数 1
回答已采纳
1
回答
在这种情况下可以
执行
xss
吗?
、
是否可以在下列条件下
执行
xss
?get变量中的输入将被回显回显给用户,并且不会出现在任何属性或标记中
浏览 0
提问于2013-09-02
得票数 2
1
回答
XSS
未正确
执行
、
、
而不是接收警报(
XSS
)我得到[object Object]我想是服务器端的过滤器。或者我可以修改源代码。
浏览 0
提问于2023-04-29
得票数 0
1
回答
Excel中的最大下拉列表/公式长度
、
、
、
Z1").Validation.Add Type:=xlValidateList, AlertStyle:=xlValidAlertStop, Formula1:=myList我怎样才能
突破
这些
限制
呢?我正在使用Excel2003。
浏览 7
提问于2013-04-15
得票数 1
回答已采纳
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
XSS专题(一)
XSS跨站漏洞(一)
WEB应用漏洞及修复汇总
你与敬业福还差一个yxcms app漏洞的距离
Web前端安全之跨站脚本攻击实战
热门
标签
更多标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
活动推荐
运营活动
广告
关闭
领券