index.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<!-- http://sjy:8008/demo/index.jsp?meg=<script>alert('XSS%20attack')</script> -->
<%String message = request.getParameter("meg"); %>
<%=message %>
<form action="" method="post">
<input type="hidden" value="<%=message%>">
</form>
</body>
</html>
上面代码容易被XSS攻击,做个记录!
在浏览器中输入
http://sjy:8008/demo/index.jsp?meg=<script>alert('XSS%20attack')</script>
即可看到攻击效果
分享到:
相关推荐
2. 跨站脚本(XSS)漏洞 6 漏洞描述 6 漏洞危害 6 解决方案 7 代码示例 7 3. HTTP header注入漏洞 8 漏洞描述 8 修复建议 8 4. 目录遍历漏洞 8 漏洞描述 8 解决方案 8 5. 文件包含漏洞 9 漏洞描述 9 漏洞危害 9 解决...
您可能想查看有关可信类型的其他资源: -带示例的API描述。 -介绍性解释器(API解决什么问题?)。 -对Trusted Types API的更全面和形式化的描述。 -该API在基于Chromium版本83及更高版本的浏览器中本地可用。保丽...
该存储库是一个简单的 php Web 应用程序,其中包含 3 个跨站点脚本 (XSS) 漏洞示例。 配置 提供了两种使用此应用程序的方法,Docker 和 Vagrant。 码头工人 要使用此应用程序的 docker 版本,只需执行以下操作: #...
八卦世界 Gossip World是一个简单的Flask应用程序,其中包含多个跨站点脚本漏洞的示例,其主要目的是描述恶意用户如何在此有目的的易受攻击的应用程序中利用它们。指数什么是跨站点脚本? 每当应用程序在未经适当...
React + MobX TodoMVC示例 该存储库提供了使用 , JSX和ES6编写的应用程序的参考实现。 运行示例 npm install npm start open http://localhost:3000 该示例要求节点4.0或更高版本 测试XSS 将以下行添加为待办事项...
Vue.js服务器端模板XSS示例该存储库演示了同时使用服务器端渲染和Vue.js的Web应用程序如何能够容易受到XSS的攻击,即使它们采取了预防措施。 index.php是一个易受攻击PHP脚本。 fix-v-pre.php和fix-servervars-...
第7章 XSS跨站脚本漏洞 129 7.1 XSS原理解析 129 7.2 XSS类型 130 7.2.1 反射型XSS 130 7.2.2 存储型XSS 131 7.2.3 DOM XSS 132 7.3 检测XSS 133 7.3.1 手工检测XSS 134 7.3.2 全自动检测XSS 134 7.4 XSS高级利用 ...
跨站脚本 (XSS) 跨站请求伪造 (CSRF) 会话固定 不安全的直接对象引用 ......也许还有更多:) 它绝不是优化的、有据可查的或用精心设计的代码原则编码的。 它只是为了展示闯入未受保护的 IT 系统是多么容易。 请勿...
饼干窃取者 这个存储库只是一个例子,如何通过 xss 获取 cookie 以用于教育目的。... 该XSS脚本的特殊之处在于,它不会每次都发送cookie,而仅在cookie更新时发送。 这可以保护攻击者服务器免受存储溢出的影响。
跨站点脚本(XSS) 路径遍历 远程执行代码 文件上传漏洞 不安全的密码存储 跨站请求伪造 认证/授权不足 定时攻击 设置/安装 请在虚拟机中运行此程序,并将其限制为本地主机,这样就不会损害您的计算机。 需要CF11 ...
具有许多内置安全漏洞的简单Django应用程序 带有示例和解释的相应文章: 其中一些被 像这样运行它: bandit -r ./insecure/security 要启动服务器: python manage.py runserver ... 跨站点脚本(XSS)
10.5.4 XSS脚本 10.6 益处和改进的余地 10.7 小结 第11章 文件格式模糊测试 11.1 目标应用 11.2 方法 11.2.1 强制性或基于变异的模糊测试 11.2.2 智能强制性或基于生成的模糊测试 11.3 输入 11.4 漏洞 11.4.1 拒绝...
18.XSS跨站脚本攻击原理及代码攻防演示(一); 19.Powershell基础入门及常见用法(一); 20.Powershell基础入门及常见用法(二); …… 共84份,太多了就不一一列举了,喜欢的可以下载学习……
为了防止这种情况,此模块使用的技术类似于CSRF ,并且依赖于浏览器的以下两个限制: 跨站点脚本无法读取/修改Cookie。 跨站点脚本无法设置标题。 依赖于以下事实:cookie中的唯一令牌必须与隐藏在表单提交字段中的...
要求 需要创建Node.js, NPM, MySQL MySQL数据库.....XSS(Reflected) :要求在输入字段中输入名称,并显示有关名称的信息。 除了名称,如果用户还输入了一些脚本,如[removed]alert(10)</sc