跨站脚本漏洞(XSS)示例 - 宋建勇 - ITeye博客

`

宋建勇

浏览: 1363677 次
性别:
来自: 江西

最近访客更多访客>>

chentging

u010092981

zywhb

xiaochenggushi

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

ron.luo：牛逼，正解！
maven设定项目编码
lichaoqun：
java.sql.SQLException: Can't call commit when autocommit=true
Xujian0000abcd： Thanks...
Cannot proxy target class because CGLIB2 is not available. Add CGLIB to the clas
renyuan2ni： [i][b][u]引用[list] [*][img][flas ...
Manual close is not allowed over a Spring managed SqlSession
851228082：宋建勇写道851228082 写道<!-- 文件拷贝时 ...
maven设定项目编码

跨站脚本漏洞(XSS)示例

博客分类：

javascript

XSS 跨站脚本漏洞

阅读更多

index.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<!-- http://sjy:8008/demo/index.jsp?meg=<script>alert('XSS%20attack')</script> -->

<%String message = request.getParameter("meg"); %>
<%=message %>

<form action="" method="post">
<input  type="hidden" value="<%=message%>">
</form>
</body>
</html>

上面代码容易被XSS攻击，做个记录！
在浏览器中输入
http://sjy:8008/demo/index.jsp?meg=<script>alert('XSS%20attack')</script>
即可看到攻击效果

测试Web应用程序是否存在跨站脚本漏洞_XSS_.zip (9.6 KB)
下载次数: 16

分享到：

linux用户覆盖全局（自定义）变量环境 | Linux安装和卸载JDK(Java)

2012-12-27 17:51
浏览 2162
评论(0)
分类:互联网
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

WEB安全漏洞集锦: 2. 跨站脚本（XSS）漏洞 6 漏洞描述 6 漏洞危害 6 解决方案 7 代码示例 7 3. HTTP header注入漏洞 8 漏洞描述 8 修复建议 8 4. 目录遍历漏洞 8 漏洞描述 8 解决方案 8 5. 文件包含漏洞 9 漏洞描述 9 漏洞危害 9 解决...

webappsec-trusted-types：一种浏览器API，用于防止现代Web应用程序中基于DOM的跨站点脚本: 您可能想查看有关可信类型的其他资源： -带示例的API描述。 -介绍性解释器（API解决什么问题？）。 -对Trusted Types API的更全面和形式化的描述。 -该API在基于Chromium版本83及更高版本的浏览器中本地可用。保丽...

xsspenlab:一个带有一些 xss 漏洞的简单 Web 应用程序: 该存储库是一个简单的 php Web 应用程序，其中包含 3 个跨站点脚本 (XSS) 漏洞示例。配置提供了两种使用此应用程序的方法，Docker 和 Vagrant。码头工人要使用此应用程序的 docker 版本，只需执行以下操作： #...

demo-devsecops:演示devsecops: 八卦世界 Gossip World是一个简单的Flask应用程序，其中包含多个跨站点脚本漏洞的示例，其主要目的是描述恶意用户如何在此有目的的易受攻击的应用程序中利用它们。指数什么是跨站点脚本？每当应用程序在未经适当...

xss-demo-react-mobx-todo:该项目旨在演示跨站点脚本攻击以及如何修复xss漏洞: React + MobX TodoMVC示例该存储库提供了使用， JSX和ES6编写的应用程序的参考实现。运行示例 npm install npm start open http://localhost:3000 该示例要求节点4.0或更高版本测试XSS 将以下行添加为待办事项...

vuejs-serverside-template-xss：混合了导致XSS漏洞的客户端模板和服务器端模板的Vue.js应用程序的演示: Vue.js服务器端模板XSS示例该存储库演示了同时使用服务器端渲染和Vue.js的Web应用程序如何能够容易受到XSS的攻击，即使它们采取了预防措施。 index.php是一个易受攻击PHP脚本。 fix-v-pre.php和fix-servervars-...

Web安全深度剖析(张柄帅): 第7章 XSS跨站脚本漏洞 129 7.1 XSS原理解析 129 7.2 XSS类型 130 7.2.1 反射型XSS 130 7.2.2 存储型XSS 131 7.2.3 DOM XSS 132 7.3 检测XSS 133 7.3.1 手工检测XSS 134 7.3.2 全自动检测XSS 134 7.4 XSS高级利用 ...

webapps-security:这是一个示例 JEE 项目，存在很多严重的安全问题: 跨站脚本 (XSS) 跨站请求伪造 (CSRF) 会话固定不安全的直接对象引用 ......也许还有更多:) 它绝不是优化的、有据可查的或用精心设计的代码原则编码的。它只是为了展示闯入未受保护的 IT 系统是多么容易。请勿...

CookieStealer:如何通过 xss 抓取 cookie 用于教育目的的简单示例: 饼干窃取者这个存储库只是一个例子，如何通过 xss 获取 cookie 以用于教育目的。... 该XSS脚本的特殊之处在于，它不会每次都发送cookie，而仅在cookie更新时发送。这可以保护攻击者服务器免受存储溢出的影响。

cfml-security-training:一个不安全的示例网站，用于CFML安全培训: 跨站点脚本（XSS）路径遍历远程执行代码文件上传漏洞不安全的密码存储跨站请求伪造认证/授权不足定时攻击设置/安装请在虚拟机中运行此程序，并将其限制为本地主机，这样就不会损害您的计算机。需要CF11 ...

django-insecure:不安全的Django应用程序示例: 具有许多内置安全漏洞的简单Django应用程序带有示例和解释的相应文章：其中一些被像这样运行它： bandit -r ./insecure/security 要启动服务器： python manage.py runserver ... 跨站点脚本（XSS）

Fuzzing_模糊测试--强制性安全漏洞发掘: 10.5.4 XSS脚本 10.6 益处和改进的余地 10.7 小结第11章文件格式模糊测试 11.1 目标应用 11.2 方法 11.2.1 强制性或基于变异的模糊测试 11.2.2 智能强制性或基于生成的模糊测试 11.3 输入 11.4 漏洞 11.4.1 拒绝...

【推荐】最新超全的渗透测试学习基础教程集合（84份）.zip: 18.XSS跨站脚本攻击原理及代码攻防演示（一）； 19.Powershell基础入门及常见用法（一）； 20.Powershell基础入门及常见用法（二）； …… 共84份，太多了就不一一列举了，喜欢的可以下载学习……

electrode-csrf-jwt：使用JWT的无状态跨站点请求伪造（CSRF）保护: 为了防止这种情况，此模块使用的技术类似于CSRF ，并且依赖于浏览器的以下两个限制：跨站点脚本无法读取/修改Cookie。跨站点脚本无法设置标题。依赖于以下事实：cookie中的唯一令牌必须与隐藏在表单提交字段中的...

The-Vulnerable-Web-Application:使用具有不同漏洞的 Node.js 和用于测试的示例网站制作: 要求需要创建Node.js, NPM, MySQL MySQL数据库.....XSS(Reflected) ：要求在输入字段中输入名称，并显示有关名称的信息。除了名称，如果用户还输入了一些脚本，如[removed]alert(10)</sc

Global site tag (gtag.js) - Google Analytics