是否还有其他方法来防止SQL注入和XSS攻击?我知道您可以为Java1.5或更高版本实现ESAPI,我的项目是在Java1.4上,需要实现ESAPI,防止SQL注入和XSS攻击,任何其他Java1.4库都是有用的。
浏览 6提问于2017-08-22得票数 1
2回答
我们如何准确地区分XSS和html注入。这两者都属于代码注入和XSS,主要与Java有关,但也包括其他元素,如前面提到的。虽然HTML主要是与注入HTML代码相关的,如果我通过,它指出HTML注入是XSS的一种类型。引用这一来源的话:
跨站点脚本,更被称为XSS<
浏览 3提问于2019-07-07得票数 0
1回答
OWASP的XSS筛选器规避Cheatsheet列出了一个Perl脚本:上面还提到了这一点:
空字符也可以作为XSS向量工作,但不像上面那样,您需要使用诸如Burp代理或在URL字符串中使用%00之类的东西直接注入它们,或者如果您想编写自己的注入工具,可以使用vim (^V^@将产生空
浏览 0提问于2017-04-29得票数 0
回答已采纳
1回答
为了避免XSS或类似的攻击,文本应该在后端转义。Scala或Slick提供了与PHP类似的转义字符串的可能性吗?
浏览 1提问于2019-05-27得票数 2
回答已采纳
我当时正在查看这里,并且我了解反射- does (客户端XSS)并不通过服务器端脚本,而是反射XSS (服务器端XSS),但它们都不存储在数据库中。但是我对一个注入能做什么而另一个不能做什么感到困惑,XSS通过服务器端脚本与被注入客户端页面(脚本仍然在客户端运行)的危险是什么?此外,是否存在持久的DOM XSS(客户端XSS)注入,如果是这样的话?
浏览 0提问于2015-08-20得票数 5
回答已采纳
8回答
现在你可以读到很多关于代码注入,漏洞,缓冲区,堆栈和堆溢出等导致注入和运行代码的内容。我想知道这些东西中有哪些与Java相关。我认为XSS是可能的,例如在Java应用程序中,当没有过滤任何输入时。但这不是更像是JavaScript注入吗,因为注
浏览 0提问于2009-12-10得票数 16
回答已采纳
6回答
我正在编写一个java类,它将由servlet过滤器调用,并检查注入攻击尝试和基于Struts的java应用程序的XSS。InjectionAttackChecker类使用regex & java.util.regex.Pattern类根据regex中指定的模式验证输入。.、-、<=、==、>=),以防止注入攻击。
是否有任何现有的regex模式,我可以使用原样?我应该采取什么策略来防止注入攻击和XSS,但仍然允许这些字符模式。
浏览 21提问于2009-01-27得票数 12
我想知道JRequest::getVar()函数是否足够好来防止sql注入或XSS,或者在joomla站点中使用其他方法来防止XSS或sql注入肯定更好。
浏览 4提问于2013-02-27得票数 1
1回答
我正在开发一个有很多年历史的Java web应用程序。( 1)我们提出的方法是否可以修复filte
浏览 3提问于2013-03-06得票数 2
4回答
在执行XSS时,我们通常将JavaScript代码放在<script>标记之间。我注意到HTML注入非常相似,因为您正在做几乎相同的事情,但是使用不同的标记(例如<h1>、<p>、<span>等)。
结果可能会大不相同。在进行XSS攻击时,您可能会使用alert()创建通常的弹出窗口,而在执行HTML注入时,您可能会在网页上添加一些花哨的文本。
浏览 0提问于2019-03-25得票数 0
回答已采纳
1回答
我知道如何在使用javascript、php、java、mysql创建的站点中找到XSS和注入。现在我正在评估一个前端是flash的产品。
浏览 0提问于2009-10-22得票数 1
回答已采纳
它发现了一个XSS漏洞。扫描步骤: Injected item: POST: localeCountry <--这是一个枚举值,不能更改为XSS字符串并存储在服务器中。注入值:>'>alert("XSS警告!“)检测值:>'>alert("XSS警告!“)在攻击响应页面中检测到,该页面在链接内找到。我认为这是一个无效的漏洞,因为注入的项目不会持久,也不会影响其他用户。最好避开所有参数,但我想知道这个漏洞是否有效?
问:
浏览 2提问于2012-10-19得票数 0
回答已采纳
我刚刚学习了XSS攻击背后的理论,现在我想以合法的方式测试我的知识。我使用工具检查了是否向DOM注入了有效负载,但由于某种原因,脚本没有执行。你知道为什么吗?你知道我怎样才能给OWASP果汁商店注入更复杂的有效载荷吗?
浏览 0提问于2018-12-15得票数 2
回答已采纳
XSS和SQL注入是未经消毒的用户输入的两个主要安全风险。
使用htmlspecialchars()可以防止XSS (当没有WYSIWYG时),使用参数化查询和绑定变量可以防止SQL注入。
浏览 14提问于2014-02-14得票数 1
我正在寻找这样的开源和免费的扫描程序的Ajax驱动的grails/Java web应用程序,可以识别主要的安全缺陷,如注入和XSS攻击。这样的前10大安全风险由OWASP前10名确定。作为一个额外的问题,什么是Java/groovy源代码级别的扫描器?
浏览 5提问于2011-03-27得票数 3
回答已采纳
2回答
我在body参数中注入了XSS脚本,API用'400 Bad请求‘错误进行响应,但是响应显示了我在请求有效负载中注入的XSS脚本。如果响应是'200 OK‘,如果响应主体显示XSS脚本,那么我会将其总结为一个漏洞,因为XSS脚本将在web浏览器中打开相应页面时被存储和响应(如果web应用程序的安全性也很弱)。
浏览 0提问于2020-03-25得票数 4
我需要多担心XSS (据我所知,在使用MongoDB时不可能得到SQL注入)
由于我的大多数表单都是通过AJAX...is提交的,所以只需对所有传入数据使用Django +一个开源清理库()即可?
浏览 1提问于2011-09-28得票数 0
云服务器
ICP备案
对象存储
云直播
腾讯会议
腾讯云开发者
