我知道XSS漏洞可以用来在受害者的浏览器中执行一段javascript代码。
可以利用它的一个明显的方法是,如果它可以被用来破坏受害者的cookie。甚至可以加载一个提供恶意软件服务的iframe。还有没有其他方法可以利用XSS?
浏览 3提问于2016-05-01得票数 0
我最近来了一个网站,在它的HTML标记中嵌入了一个JS特洛伊木马。McAfee的名称是JS/ name blacole.em,F-安全名称是特洛伊木马:JS/代理,MS名称是特洛伊木马:JS/quidvetis.a。现在,出于好奇,我查看了特洛伊木马的源代码(仅供您参考,我在pastebin上发布了一份副本,请看这里的)。让我好奇的是McAfee站点上的部分(,点击“病毒特性”选项卡)
此外,此检测使用以下最近的
浏览 1提问于2013-09-11得票数 5
回答已采纳
4回答
我知道如何跟踪对php应用程序(html、php、js)的安全攻击。SQL注入会话劫持/Fixation远程文件注入,我应该知道任何其他,或我是否错过了任何?
浏览 0提问于2011-01-27得票数 8
回答已采纳
我偶然发现了以下XSS攻击OWASP的例子:
其他破坏性攻击包括泄露最终用户文件、安装特洛伊木马程序.据我所知,使用JS的XSS攻击由于浏览器的沙箱,对用户端文件和操作系统本身的访问权限非常有限(如果有的话)。所以我想知道这是怎么可能的,或者我是不是遗漏了什么?有谁有这样的袭击场景吗?
浏览 0提问于2016-07-04得票数 3
回答已采纳
我正在使用Burp套件进行一些测试,我注意到它们包括以下字符串:作为XSS有效负载的攻击字符串。
如何使用此字符串执行XSS攻击?
浏览 0提问于2013-07-30得票数 9
回答已采纳
我发现,可以通过一个小小的安全漏洞注入一个javascript文件。因此,基本上,黑客可以插入任何他想要的javascript代码。
浏览 0提问于2018-04-22得票数 1
回答已采纳
我正在我的项目中实现OWASP,并使用(angular js和web api)。谁能帮我防止我的项目中的XSS攻击。我已经使用ngsanitize来阻止脚本注入,同时从UI插入代码,它工作得很好,但使用fiddler,我能够通过web api注入脚本。
你能帮我找到最好的方法吗?提前谢谢。
浏览 20提问于2016-09-13得票数 0
我正在测试一个没有XSS的网站。因此,我认为将XSS升级为一个有效的bug是个好主意。我需要向我的服务器发出请求,但问题是关闭标记>或正斜杠,/被转义,但其他一切都正常。事件处理程序也可以工作。实际上,我想注入第三部分js文件,没有脚本标记或任何关闭标记。
浏览 0提问于2022-08-17得票数 0
回答已采纳
我们不能直接访问这个页面,所以我们不能更改源代码,但是我们需要在它的内容中添加一个js。有什么办法吗?我的意思是,例如,外部javascript或任何其他方式。
浏览 1提问于2012-05-03得票数 3
我刚刚学习了XSS攻击背后的理论,现在我想以合法的方式测试我的知识。我使用工具检查了是否向DOM注入了有效负载,但由于某种原因,脚本没有执行。你知道为什么吗?你知道我怎样才能给OWASP果汁商店注入更复杂的有效载荷吗?
浏览 0提问于2018-12-15得票数 2
回答已采纳
<textarea> ...通常,这是防止XSS注入等的常用方法,但在本例中,我需要按原样发送和获取脚本标记。 有没有一种方法可以标记这个文本区域,让它有一种例外?或者以另一种方式,我可以防止通过xss_clean函数删除它?下面是来自xss_clean函数的一小段代码 public function xss_clean($str,
浏览 20提问于2019-03-12得票数 0
我知道如何通过MIME嗅探来利用XSS,但问题是,您是将这种类型的XSS存储还是反射呢?存储的攻击是将注入的脚本永久存储在目标服务器上的攻击。对于这种类型的XSS,我有点困惑。我可以在开始时修改我的文件,使其具有一些javascript,让浏览器将其解释为JS文件并执行。这使它成为存储的XSS吗?
浏览 0提问于2018-09-25得票数 1
回答已采纳
刚接触node js和express让我想知道完成任务的最好方法。在处理表单时是否有特定的约定?
浏览 3提问于2012-10-05得票数 0
回答已采纳
我是node.js的新手,很想知道在Node.js上编写的脚本是否会保存为.js格式,如果它也包含服务器端脚本怎么办?我的意思是它怎么能像.php和aspx一样安全/隐藏呢?如果有人给我详细解释一下,并分享一些防止Node.js上的XSS攻击的技巧,我会非常高兴的。
浏览 0提问于2018-03-14得票数 0
黑客如何设法将恶意代码输入到web应用程序和大多数网站?我想说的是,很少有网站有JavaScript函数eval()在他们的网站代码。
浏览 0提问于2019-05-05得票数 0
据说,如果您担心XSS攻击,就不要在工具提示中设置data-html=true。我对XSS的攻击一无所知。
浏览 5提问于2014-03-07得票数 7
回答已采纳
1回答
我想知道如何在我的视图中转义Node.js项目中的变量。
例如,我的.jade视图文件中的#{name}似乎容易受到SQL注入或XSS的攻击。有没有解决这个问题的标准方法?
浏览 2提问于2013-04-22得票数 0
1回答
我试图在iframe元素中注入脚本,试图以这种方式实现,子元素和父元素不属于同一域(我知道XSS在最新的浏览器中被阻止)有没有办法将脚本注入到按钮点击父元素的子元素中。myIframe.contentWindow.document.createElement("script");script.src = "randomshit.js
浏览 0提问于2013-02-23得票数 5
回答已采纳
CookieCsrfTokenRepository.withHttpOnlyFalse()将XSRF令牌存储在cookie中,并允许前端使用JS代码提取cookie内容。但是,如果黑客注入一些恶意的JS代码来读取cookie中的XSRF令牌,并将XSRF令牌添加到伪造的http请求的http头中并发送它,该怎么办?我认为后端会认为这个请求是合法的。这不危险吗?
浏览 24提问于2022-10-29得票数 0
回答已采纳
云服务器
ICP备案
云直播
对象存储
实时音视频
腾讯云开发者
