当前位置: 首页 > wzjs >正文

深圳公司网站建设服务为先怎么找一手app推广代理

wzjs 2025/7/26 9:14:29
深圳公司网站建设服务为先,怎么找一手app推广代理,网站加关键词代码,快速提高关键词排名的软件声明 文中涉及操作均来自靶机虚拟环境,禁止用于真实环境,任何未经授权的渗透测试都是违法行为! 靶场部署与工具推荐 环境搭建:使用PHPStudy部署,源码从GitHub下载。测试工具:Burp Suite(抓包…

声明

文中涉及操作均来自靶机虚拟环境,禁止用于真实环境,任何未经授权的渗透测试都是违法行为!

靶场部署与工具推荐

  • 环境搭建:使用PHPStudy部署,源码从GitHub下载。
  • 测试工具:Burp Suite(抓包)、ExifTool(修改EXIF)、XSStrike(自动化检测)。

https://github.com/do0dl3/xss-labs下载 xss-labs,

解压后放到 phpstudy_pro 的 WWW 目录下,重命名为 xss-labs

之后访问 http://localhost/xss-labs/

1. Level 1(直接注入)

漏洞点:GET参数name未过滤直接输出到HTML。

Payload<script>alert('xss')</script>

原理:服务端未转义用户输入,直接拼接至<h2>标签中。

2. Level 2(闭合属性值)

漏洞点:输入框的value属性未过滤,但<h2>内容被转义。

Payload"><script>alert(1)</script>

技巧:闭合value的双引号,利用未过滤的输入点注入脚本。

3. Level 3(事件触发绕过)

漏洞点<>被转义,但单引号未过滤。

Payload' onfocus=javascript:alert() '

原理:通过onfocus事件在输入框获得焦点时触发脚本。

4. Level 4(双引号闭合)

漏洞点:双引号闭合属性值,过滤逻辑与Level 3相反。

Payload" onfocus=javascript:alert() "

技巧:调整引号类型以适应服务端过滤规则。

5. Level 5(<a>标签利用)

漏洞点onscript被过滤为o_nscr_ipt

Payload"><a href="javascript:alert(1)">xss</a><"

绕过:利用<a>标签的href属性执行JavaScript伪协议。

6. Level 6(大小写绕过)

漏洞点:关键字过滤未统一大小写。

Payload"><sCript>alert()</sCript><"

技巧:通过混合大小写绕过黑名单检测。

7. Level 7(双写绕过)

漏洞点script被替换为空,但仅过滤一次。

Payload"><scscriptript>alert()</scscriptript><"

原理:双写敏感词使过滤后仍保留有效字符。

8. Level 8(html 实体编码)

漏洞点href属性自动解码Unicode。

Payloadjavascript:alert(1)编码为&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;

工具:使用在线编码工具转换关键字符。

9. Level 9(注释符绕过)

漏洞点:强制要求参数包含http://

Payloadjavascript:alert()/*http://*/

技巧:添加注释符绕过字符串检测。

10. Level 10(隐藏表单注入)

漏洞点:通过隐藏的t_sort参数注入事件。

Payload?t_sort=" onfocus=alert() type="text

原理:修改隐藏表单属性为可见并触发事件。

11. Level 11(Referer头注入)

漏洞点Referer头未过滤写入隐藏表单。

Payload:修改HTTP头为Referer: " onfocus=alert() type="text

12. Level 12(User-Agent注入)

漏洞点User-Agent头未过滤。

Payload:同Level 11,修改User-Agent字段。

13. Level 13(Cookie注入)

漏洞点:Cookie值未过滤写入页面。

Payload:设置Cookie为user=" onfocus=alert() type="text

14. Level 14(EXIF XSS)

漏洞点:图片EXIF信息未过滤。

方法:使用工具(如ExifTool)在图片元数据中插入脚本。

15. Level 15

漏洞点ng-include指令包含外部页面。

Payload?src='level1.php?name=<img src=x onerror=alert(1)>'

16. Level 16(空格与换行符)

漏洞点:空格被编码为&nbsp;,换行符保留。

Payload<img%0asrc=x%0aonerror=alert(1)>

17. Level 17-18(Flash XSS)

漏洞点:Flash未过滤参数,闭合标签属性。

Payload?arg01=a&arg02= onmouseover=alert(1)

三、防御思路总结

  1. 输入过滤:使用白名单限制特殊字符(如<, >)。
  2. 输出编码:根据上下文转义HTML/JS(如<转为&lt;)。
  3. HTTP安全头
Content-Security-Policy: script-src 'self';
Set-Cookie: HttpOnly; Secure
  1. 框架安全:避免直接使用v-htmlinnerHTML等危险API。
http://www.dtcms.com/wzjs/71264.html

相关文章:

  • 去国外做赌钱网站指数基金
  • 公共资源交易网站建设方案进入百度首页官网
  • 哈尔滨seo优化运营百度seo关键词工具
  • 包车哪个网站做的最好seo网络推广报价
  • 房产网站建设推广什么是网店推广
  • 做电容元器件的网站有哪些2023年的新闻时事热点论文
  • 江苏网站开发建设免费推广软件下载
  • 做网站开发还会有前途吗网络服务器是指什么
  • 香港私服网站大全信息检索关键词提取方法
  • 农村自建房设计图一层楼平面图湖南广告优化
  • 系统的超级宗门沈阳专业网站seo推广
  • 那个网站可以做域名跳转的小红书seo关键词优化多少钱
  • 企业网站硬件设计做公司网站的公司
  • 无锡网站优化建站神点击恶意点击软件
  • 网站建设员招聘市场调研报告内容
  • 政协网站 两学一做专题研讨上海网站seo诊断
  • 国外公司查询网站百度一下官网首页
  • 建筑工程师的工作内容seo顾问服务四川
  • wordpress建站课程关键词百度指数查询
  • 怎么做网站代理小程序开发框架
  • 网站要怎么做的吗竞价开户推广
  • 群晖nas可以做网站山东进一步优化
  • 如何用家用电脑做网站seo策略主要包括
  • 图片编辑软件手机版关键词优化包含
  • 东莞贸易网站建设黄页88网络营销宝典
  • 网站简繁切换js软文营销范文100字
  • 创建网站的软件网站建设公司好
  • 网站建设 中山网站需要怎么优化比较好
  • 西藏建设厅网站首页广告接单平台app
  • 苹果网站用什么做的河南seo推广