回答情况:
提问时间:
问题标签:
1回答
如果网站URL被编码,那么该网站是否仍然容易受到XSS的攻击?例如,如果我尝试<script>alert(1)</script>并将我的有效负载编码为%3Cscript%3Ealert(1)%3C%2Fscript%3E,这是否意味着该站点易受XSS攻击或不受XSS攻击?
浏览 0修改于2018-07-27得票数 2
我知道XSS攻击(“非持久性”和“持久性”)可以劫持用户会话、污损网站、进行网络钓鱼攻击等。只有当浏览器不修改URL字符时,此漏洞才有效。Mozilla在文档中自动编码<和>(分别为%3C和%3E )。
那么,
浏览 0提问于2013-03-10得票数 10
回答已采纳
我在web应用程序上尝试过一些XSS漏洞,如web98、OWASP、bWAPP。我想知道apache日志文件中跨站点脚本攻击的特性/关键字/足迹,从这些足迹中可以确定XSS攻击已经执行。我知道所有类型的XSS攻击都无法通过日志文件检测到。但是,我希望将任何可能的XSS类型的特性存储到日志文件中。下面我给出了几个存储在日志文件中的脚印示例,1) <script>3)
浏览 0修改于2018-12-27得票数 1
其中一个攻击是将XSS脚本注入到请求url中: ourcompanyhostname.com/abc/authorize<script>alert('xss');</script> 由于我们的web服务器是*[^A-Za-z0-9./\-_]+ "-" [L,R=400] 问题是,当攻击被更改为下面的攻击时,它不再被捕获: ourcompanyhostname.com/abc/aut
浏览 56提问于2020-07-24得票数 0
我刚读过一篇关于CSRF的文章,它提到了3种攻击矢量: XSS、操纵链接和本地攻击。
虽然最后两种方法似乎是可能的(对我来说),但我不确定XSS将如何在这里发挥作用。基于我的理解,我想利用一个网站通过受害者,我没有选择,我可以使用XSS在这里。只有当我是做XSS的人时,我才能理解如何做,但在这种情况下,我不需要受害者,对吗?编辑:现在我想我有了一个线索;攻击者会创建一个持久的XSS,当(任何)受害者访问合法的站点时,这个XSS
浏览 0提问于2016-11-03得票数 0
我正在尝试执行DOM XSS攻击,以利用本地主机网页的漏洞。我能够成功地在IE-11和Chrome上执行攻击。但是Firefox阻止了我通过对我放在URL中的脚本进行编码来执行攻击。正如在官方OWASP页面上解释的那样,我正在执行攻击。为了绕过chrome的XSS审计师,我遵循了在这篇精彩的文章中解释的技巧(尽管他在文章中解释了XSS,但它对DOM也很有效)。那么,我如何在最新的Firefox上执行DOM XSS攻击呢?
注意:我可以
浏览 0提问于2014-03-07得票数 7
回答已采纳
我有一个url参数,可以是:"“或:javascript:警告(document.cookie)
如果我使用encodeURIComponent来避免xss攻击,那么合法的url就会被破坏,如果我使用encodeURIComponent,xss攻击就不会被处理(冒号通过)。避免xss攻击和保持url有效的最佳方法是什么?
浏览 14提问于2015-08-25得票数 2
回答已采纳
我非常关注XSS和网站的安全性。 我已经阅读了一些与XSS相关的参考资料,并防止它们使用转义、编码等。 所以我的问题是,Django会自动转义每个输入数据并自动或显式地处理XSS攻击吗?我们需要实现代码来防止XSS攻击吗? 我们如何在Django中防止各种XSS攻击?
浏览 36修改于2019-10-09得票数 3
回答已采纳
如果攻击者的意图是在web应用程序的上下文中执行任意客户端脚本,那么XSS是否是唯一可能的攻击,而不是通过RCE或子资源供应链攻击损害服务器?XSS是跨站点脚本--无论它是反射的、持久的还是基于DOM的。子资源供应链攻击是指通过损害供应链(即:损害CDN、S3桶等)或通过通过非https通道加载的子资源而损害子资源(如CSS、javascript、flash对象等)的地方。
浏览 0修改于2020-01-10得票数 0
我的学校网站被黑了因为我的教授被XSS-ed了。所以我发现攻击者使用了这个XSS攻击矢量谁能解释一下这个向量是如何工作的,以及你建议我如何设置我的网站以抵御进一步的XSS攻击。
浏览 4提问于2011-12-25得票数 0
回答已采纳
有几篇关于安卓/iOS WebViews中XSS漏洞的文章。我所说的WebView指的是“真实的”网页视图,而不是SFSafariViewController或Custom。我自己也能想到一个例子:这个应用程序使用的是深度链接/通用链接。query=<script>alert('XSS&
浏览 0修改于2019-06-24得票数 1
我不担心其他类型的攻击。我只想知道HTML编码是否可以防止各种XSS攻击。
即使使用HTML编码,也有办法进行XSS攻击吗?
浏览 6提问于2008-09-10得票数 67
回答已采纳
如果要像这样在输入框中输入下面的代码来执行XSS攻击,由于maxlength的限制,不能输入的XSS攻击,我能保证XSS攻击不能进行吗?一般来说,如果输入受到maxlength的限制,那么限制XSS攻击的最小maxlength应该是多少?
浏览 0提问于2013-02-07得票数 3
回答已采纳
q=" + stencodeURI("http://Server.com/SearchCenter/Pages/internal.aspx?q=%3Cscript%3Ealert('dd')%3C/script%3E)
现在,如果不是标记,而是输入JavaScript:警报(‘dd’),encodeURI
浏览 0修改于2015-05-11得票数 0
回答已采纳
基于DOM(类型0)的XSS不需要向服务器发送恶意代码,因此它们也可以使用静态HTML页面作为攻击载体。以下是虚拟攻击字符串的示例:我很熟悉,ModSecurity在PDF中提供了对被认为是0类攻击的XSS攻击的保护,但是我的问题是,ModSecurity是否在一
浏览 0提问于2010-12-10得票数 3
我正在使用Burp套件进行一些测试,我注意到它们包括以下字符串:作为XSS有效负载的攻击字符串。
如何使用此字符串执行XSS攻击?
浏览 0修改于2013-07-31得票数 9
回答已采纳
我正在浏览OWASP筛选器规避备忘单和,我遇到了本节,其中有一个用于执行XSS的锚标记,其形式如下:<A HREF="http://ha.ckers.org@google">XSS</A>
<A HREF="http://google:ha.ckers.org">XSS&
浏览 0修改于2015-06-15得票数 2
回答已采纳
1回答
在普通PHP中,有一些防止XSS (跨站点脚本漏洞:strip_tags()我记得Drupal 7有filter_xss()来防止XSS漏洞,但是针对XSS漏洞的Drupal 8策略是什么呢?
浏览 0修改于2016-07-14得票数 8
回答已采纳
1回答
X-Frame-Options -防止点击攻击X-Content-Type-Options -防止可能的网络钓鱼或XSS攻击
浏览 1修改于2018-12-11得票数 3
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号