关于DOM xss跨站的一点点经验之谈(共4篇)由网友“小迷糊闯江湖”投稿提供,以下是小编为大家准备的关于DOM xss跨站的一点点经验之谈,供大家参考借鉴,希望可以帮助到有需要的朋友。
篇1:关于DOM xss跨站的一点点经验之谈
Xss的危害各位小牛 大牛们都意识到了Xss开始的csrf和挂马 到盗cookies和ajax 到xssshell 还有各种利用....
Xss的危害各位小牛 大牛们都意识到了Xss开始的csrf和挂马 到盗cookies和ajax 到xssshell 还有各种利用....我们一般找到的都是大多数都停留在找直接输入输出上,这类型的一般很容易被过滤,
隐蔽型的就是DOM xss了.
也就是不是直接输出的,
换句话话说,输出内容,在源代码里看不到.
比如你这里这个的话, 你右键,查看源代码的话 内容都是直接可以看到的这种就是直接 输入输出的
这个就是直接输出类型
对于查找DOM XSS的基本方法:
一般是这样的, 先发一个正常的内容,
然后F12打开调试工具(火狐Firebug插件);
定位到你发的内容上,调试工具里,有一个箭头,可以选择网页里指定的位置的.
然后看你发送的内容里 有没有什么隐藏的属性 或自定义属性
哦 通常的情况是xxxxxxx
而且,“你输入的某句话” ,你直接查看源代码是看不到的
换句话说, xxxxxxx 这个 是被动态产生的
这个时候,就有潜在的问题来了。 如果 “你输入的某句话” 写为xxxxxxxxx“><”
会变成<“”>xxxxxxx
就会插入一个HTML标签进去了
但是 实际情况下,“ , >都是被过滤的(到了这里一般的黑友会说转义了过滤了啊没得突破了-_-我曾经也是这样)
你输入的某句话 写为
xxxxxxxxx”><“
由于是动态产生的 最后” 会自动变为“ 大家觉得很奇怪吧等下解释
>--->>
< ----><所以最后效果还是><”“>xxxxxxx (而且很多程序员,没有过滤& )
下面我们本地测试下
复制代码
代码如下:x
内容就是我们输入的内容如
'
一个编码列子再给大家写个列子
复制代码
代码如下:
<#.mp3”>xxx.innerHTML= yyy.某个属性- -成功编码绕过(“="=')编码问题不是我开发的别问我了-_-~!
我们还可以这样来测试下
复制代码
代码如下:x
Unicode字符列表:zh.wikipedia.org/wiki/Unicode%E5%AD%97%E7%AC%A6%E5%88%97%E8%A1%A8
Xss安全测试字符转换工具:app.baidu.com/app/enter?appid=280383
作者 90sec
篇2:跨考历史专业考研经验之谈
下面我们开始讲复习内容,其实主要是讲观念,观念纠正过来可,复习安排可以随意,只是说一些我觉的必要的步骤和技巧.
(1)英语
我英语水平不好,(而且这次考试时中午吃错东西,下午考试时很难受还吐了.)这次也就50多分.关于英语我只对那些水平差的同学来说:历史的英语线很低,低到你完全不用花太多精力就能过线,保证过线就行,英语是精力投入和分数产出最划不来的科目,保证50到60分就可以了,这个分数你必须要做的有:首先把单词背熟,你去借本大纲词汇,5500的那本,把所有凡是自己不能一看到就想起意思的单词全记在一个本子上,然后就只背这个本子,5遍以上,建议在复习早期来做.其次是写作,NO.1多背一些好的佳句;NO.2写作;NO.3仔细对比;NO.4步骤就是默写;NO.5模仿(这些是我用《写作160篇》的方法)。考试时先写作文.最后每天做1到3篇阅读理解,一定要精细的读,分析,总量在100篇以上.把真题仔细的研究它的选项.英语的复习占你总时间的五分之一以下.
(2)政治
政治这次大概在75分左右,我想说的是政治是最划的来拿分的科目:40多万字的大纲100分,历史500到600万字(包括参考书)的内容300分.你如果英语不能考70,那么一定要在政治上补回来.政治的复习先以基础概念为主,你要想考高就把他们精练的归纳出来再背诵.我的归纳大概是5到6万字(不包括时世),背了三遍,再做点题(完全不用做太多,只做练习题的一半就行,大题不看),考前还是建议报个冲刺班,我今年报了个,虽然他很罗嗦,我有时觉的真想上去踢他下来,但是最后毛概和邓论再加两道选做完全直接的讲过,很有用.我不告诉大家去报那个,你自己去找,不报就找当年的录音来听.
(3)历史
废话了这么多现在终于讲到历史复习了,但是其实内容已经没多少了.
首先:9月前完成第一遍复习,这遍复习以看教科书(加参考书,参考书就买一本主流的就行,和教科书同步看,比较下有什么不同)和归纳为住,切记!一定要非常认真的去看,别管大纲,所有概念不留死角,全部当天完全看懂,千万别想着我先熟悉遍,以后再巩固,这样的思想什么时候都不要有.看的过程中作好笔记,这很重要,去找个4个大的笔记本,把你今天看的凡是自己不是很熟悉的概念和内容全面的(别只写些提干,那怕把书上内容抄下来),有条理的(今天看的内容的主要历史脉络,重点内容,重点事件和名词解释等有条理的分开来记,千万别一勺汇)记录下来,并且只记在笔记本的一面,背面空白不写(你会知道为什么马上)
9月前尽量完成这遍复习,你的笔记至少应该在15万字以上,最晚不要晚到十一.之后到11月之前两个月的时间开始第二遍复习,这遍不看书,所以前面一定要把书看仔细,笔记记详细,别怕多怕累.只看笔记和参考书,参考书和大纲有个脉络,按照那个脉络把所有看到的内容结合起来,组合成一本你自己的教科书,先前的笔记由于只写了一面,可以直接拿剪刀剪下来一块块的贴在这个脉络上.同时开始历史的背诵,象背英语单词的那样去背,会很辛苦,但是由于是你自己完全归纳和记录的.,要比直接背书和参考书容易的多,可以背完的(最多2个半月,当然你最好在这之前把英语和政治背完,因为先前的归纳虽然很累但精力消耗的不多,别浪费了.),背诵的内容要参照大纲了,大纲上没有提到的就不管,战争的细节也不管,剩下的内容不留死角的杯,别去分什么重点概念和一般概念.
现在到了11月了,要是你前面两个阶段都按时完成了,那么恭喜你,剩下的日子对你将又轻松又充裕,你可以开始马上背诵第二遍,别停,这遍大概只需要一半的时间就可以过完,另外有闲暇时间就去补你的不足就行,到12月中旬前第二遍背完(包阔英语政治),再马上开始第三遍.关于背几遍的问题是这样的,背到你能四天内就把历史所有内容背诵的过一遍就行,因为如果你用一个月背一遍,那么你的第一个概念就有一个月没看了,肯定不熟练了,两个星期也不保险,最好三天以内(考试那个礼拜的星期四刚好背完最后一遍,星期五简单过一遍就OK)背完一遍就很牢固,背诵就是这个道理.
最后我给大家设计的复习进度其实时间较宽松的,不要把进度设计的过紧,那样一旦完不成只会越来越慌,尽量留一个月时间别安排太多内容作为缓冲.有时间了再看看书上有什么遗漏,看看一些教材外的东西(前提是以上内容你必须完成),相信你考前的状态会很好
祝大家考研成功!
(中国大学网)
篇3:Nginx多站点防止跨目录浏览WEB安全
Nginx跨站攻击很让人头疼,在多个网站运行的主机上如果攻破其中一个上传了类似webshell之类的木马程序后可以轻松浏览到相邻别的网站程序目录,由于nginx是后端FCGI程序处理php,统一设置open_basedir后会导致访问出现问题,只能通过每站分别处理的方式来设置,当然还有通过修改PHP程序等方式实现,贴上一个我目前正在使用的方法。
这种方式最好把网站集中到一个目录下,另外网站目录名字最好规范统一方便辨认。否则启动和维护起来非常麻烦容易混淆。
第一步修改php-fpm配置文件,为每个站点单独建立一个配置文件,
cd /usr/loca/php/etc/
cp php-fpm.conf php-fpm-www.zhaoyi.info.conf
修改其中
Pid file
Error log file
以及
第二步修改php-fpm启动脚本
cd /usr/local/php/sbin
# vim /usr/local/sbin/php-fpm
vhost=$2 ###
php_fpm_BIN=/usr/local/bin/php-cgi
php_fpm_CONF=/usr/local/etc/php-fpm-$vhost.conf ##
php_fpm_PID=/usr/local/logs/php-fpm-$vhost.pid ###
#php_opts=”–fpm-config $php_fpm_CONF”
php_opts=”-d open_basedir=/www/$vhost/ --fpm-config $php_fpm_CONF“ #此处为网站目录
启动方式为php-fpm start www.zhaoyi.info 多个虚拟主机以此类推
第三步修改网站conf配置文件中
fastcgi_pass unix:/tmp/php-cgi-www.zhaoyi.info.sock; 要与php-fpm配置中的对应,tcp方式的启单独端口
OK,测试一下
/usr/local/php/sbin/php-fpm stop
/usr/local/php/sbin/php-fpm start www.zhaoyi.info
ps -ef | grep php中可以看到open_basedir=/www/www.zhaoyi.info就成功了
reload一下nginx的配置文件基本就可以实现各个主机隔离了,
我用phpspy测试已经访问不到别的目录了
nginx配置文件最好也采用每个网站单独一个的方式统一放在vhosts下
为了方便启动php-fpm可以写个脚本一起启动
#!/bin/bash
auto=$1
/bin/bash /usr/local/webserver/php/sbin/php-fpm $auto www.zhaoyi.info &&
/bin/bash /usr/local/webserver/php/sbin/php-fpm $auto www.xx.com &&
/bin/bash /usr/local/webserver/php/sbin/php-fpm $auto www.xxxx.com
保存为start.sh
开启sh start.sh start
关闭sh start.sh stop
在放入/etc/rc.local中开机启动
篇4:网站受到XSS跨站点脚本攻击的分析及解决方法
本文详细讲了如何避免XSS跨站点脚本攻击
如果用户表单输入一些内容,……特别是一些内容比较多的表单项,且无固定格式 ,如地址,文章内容……此时用户可以输入JS代码等来执行
STEP1:在设计方案上,输入项要尽可能检测格式并限制长度,要有服务端检测,不能依赖客户端检测。在数据库设计上要限制字段长度……
输出页面时需要进行HTML转码,如输出地址内容
<%=convert.html(cus.getAddress())%>
public static String html(String content) {
if(content==null) return ”“;
String html = content;
html = html.replaceAll( ”&“, ”&“); // www.jb51.net替换&号
html = html.replace( ”\“”, “”“); //” 替换双引号
html = html.replace( “\t”, “ ”);// 替换跳格
html = html.replace( “ ”, “ ”);// 替换空格
html = html.replace(“<”, “<”);
html = html.replaceAll( “>”, “>”);
return html;
}
有些人是在入库的时候做HTML编码,这样与原意不付,应该在出库的时候转码,如果输出载体为HTML页面,则进行HTML转码……,
如果是用户控件一类的,就可以不做HTML转码了。
真正麻烦的是,在一些场合我们要允许用户输入HTML,又要过滤其中的脚本。Tidy 等HTML 清理库可以帮忙……本文不讨论这种情况 ……
STEP2: 检测
主要对用户输入内容在显示时的页面进行检测,照上面列个清单出来
STEP3:检测结果纪录表
STEP4: 根据检测结果做修复,在纪录表上记录修复结果
STEP5:复测,在纪录表上记录复测结果
摘自 attilax的专栏
★ ki Wiki CMS群件本地文件包含和跨站脚本漏洞及修复
★ 脚本范文
★ 广告脚本范文
★ 百度贴吧的作文
★ 脚本 范文
【关于DOM xss跨站的一点点经验之谈(共4篇)】相关文章:
航天科学家有功劳中班科学教案2022-05-19
乱谈诗歌作文2022-10-02
校园网络安全自查报告2022-05-06
Discuz!NT论坛多个文件变量过滤不严导致XSS攻击2023-03-08
财务软件实施维护工程师简历表格2022-05-08
web安全学习之xss个人总结2023-02-14
CMSZERO企业网站管理系统功能介绍2022-12-02
杭州人才网求职信2023-04-21
Java开发工程师的基本职责2023-07-04
学校网络安全和数据安全的自查报告2022-05-04