360 跨站脚本攻击漏洞

最新推荐文章于 2026-05-09 05:27:26 发布
原创 最新推荐文章于 2026-05-09 05:27:26 发布 · 1.7k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#360跨站脚本攻击漏洞 #跨站脚本攻击XSS #跨站脚本漏洞
本文介绍了一个XSS漏洞案例,展示了如何通过UrlEncode处理输入来有效防止恶意代码注入,并提供了具体的代码修改前后对比。
漏洞证据:
<input type="hidden" id="fromurl" value="http://www.10000xc.com/index.aspx" onmousemove=alert(42873) wb="" />
漏洞地址:
http://www.10000xc.com/member/login.aspx


点击360 检测出来的结果列表中的  漏洞页面链接 进去 之后可以看到以上提示,然后再点击最底下的漏洞演示按钮




从上面的提示可知  是漏洞地址:login.aspx 这个页面出现了问题  再根据漏洞证据可知是这个页面 有个隐藏域 id="fromurl"  它的值会根据网页传入的URL参数直接显示出来

解决方法

原来以为 跨站 是说跨到其它域名的网站就叫跨站,一直想是不是引入了微博QQ登录引起的问题 其实不是

只要找到login.aspx 把值 UrlEncode 一下就可以了  
改前代码
  <input type="hidden" id="fromurl" value="<%=fromurl %>" />
改后代码
  <input type="hidden" id="fromurl" value="<%=HttpContext.Current.Server.UrlEncode(fromurl) %>" />

如果是sql 注入问题  要把对应的页面 ValidateRequest="true"


<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="login.aspx.cs" Inherits="Home.member.login"  ValidateRequest="true" %>

ValidateRequest="true"



360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
跨站脚本漏洞(XSS)示例
04-15
NULL 博文链接:https://songjianyong.iteye.com/blog/1754973
aspx web入侵渗透经验总结
ccx_john的专栏
12-26 1万+
对一般遇到.net的网站时      1、通常会注册个用户    第一选择利用上传判断的漏洞 加图片头GIF89A 顺利饶过    2、    第二种就是注入了, 在?id=xx后加单引号 '    一般情况下 用NBSI 啊D来SCAN 都可以发现BUG页面    而且国内大多.net都是使用MSSQL数据库    发现注入点也可以从login下手 其实这个方法目前的成功率在75%
网站后台登录地址大全
热门推荐
chance2015的博客
12-25 2万+
/admin/index.asp   /admin/login.asp   /admin/admin_login.asp   /manage/index.asp   /manage/login.asp   /manage/admin_login.asp   /admin/index.aspx  /admin/login.aspx  /admin/admin_login.aspx 
用Python的Turtle库给女朋友画一棵会下雪的樱花树(附完整代码和配色方案)
最新发布
weixin_30267785的博客
05-09 558
本文教你使用Python的Turtle库创作一棵会下雪的樱花树动画,适合作为独特的数字礼物。通过递归绘制树枝、添加动态飘落效果和个性化配色方案,打造浪漫的编程艺术作品。附完整代码和暗色效配色推荐,让技术也能表达心意。
识别跨站脚本漏洞
m0_71423081的博客
06-15 827
跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。Web 站点中的脚本不预先加以清理直接将用户输入(通常是参数值)返回, 当在响应页面中返回用户输入的 JavaScript 代码时,浏览器便会执行该代码。攻击者往往利用该原理向网页中插入恶意代码,并生成恶意链接诱使用户点击。当用户点击该连接时,便会生成对 Web 站点的请求,其中的参数值含有恶意的 JavaScript 代码。
XSS跨站脚本攻击(基础详解)
每天一小步,进步一大截
01-10 3930
一次xss的备忘本,xss攻击有很多操作我都还没学会带入真正的实战,等实战成功我会再总结一篇
跨站点脚本(XSS)的介绍
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
06-14 3426
跨站点脚本 (XSS) 攻击是一种注入,其中 恶意脚本被注入到其他良性和受信任的脚本中 网站。当攻击者使用 Web 应用程序执行以下操作时,会发生 XSS 攻击 发送恶意代码(通常以浏览器端脚本的形式)到 不同的最终用户。允许这些攻击成功的缺陷是 相当普遍,并且发生在 Web 应用程序使用来自 用户在其生成的输出中,而无需对其进行验证或编码。攻击者可以使用 XSS 向毫无戒心的人发送恶意脚本 用户。最终用户的浏览器无法知道脚本应该 不可信,并将执行脚本。
php文件跨站漏洞防御,修复PHP跨站脚本攻击漏洞XSS)方法
weixin_42116058的博客
03-11 658
1、昨天360站长之家开通官网直达,安全报高突然报[高危]跨站脚本攻击漏洞,必须修复才可进行官网直达。2、神马是XSS,额我也不懂,百度如下:用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意...
php防止跨脚本攻击,PHP防止XSS跨站脚本攻击修复方法的2种方法
weixin_36081891的博客
03-11 684
什么叫XSS跨站攻击漏洞?专业理论性的解释我也懒得说,自己去百度。我就举个实际的例子来说明这玩意的危害好了!就拿之前WordPress留言来举例好了。默认状态下,WordPress是不允许带颜色评论的,但是我们可以通过在functions.php里面插入这2行代码,强行允许评论开放所有HTML代码://允许评论开放所有html代码remove_action('init','kses_init'...
360[警告]跨站脚本攻击漏洞/java web利用Filter防止XSS/Spring MVC防止XSS攻击
weixin_34362790的博客
10-21 345
就以这张图片作为开篇和问题引入吧      &lt;options&gt;问题解决办法请参考上一篇   如何获取360站长邀请码,360网站安全站长邀请码      首先360能够提供一个这样平台去检测还是不错的。但是当体检出来 看到漏洞报告,以为360会像windows上360安全卫士一样帮我们打好补丁。但是实际发现漏洞是要自己修复,并且php和asp aspx360提供的补丁或者解决方案(...
XSS攻击原理及分类
全网120W+关注AI拉呱,专注人工智能以及科技前沿!
05-01 293
文章目录网络安全常见问题梳理XSS攻击XSS 危害XSS分类 网络安全常见问题梳理 XSS攻击 XSS(Cross Site Scripting,跨站脚本攻击),是一种常见的网络安全漏洞,它允许用户将代码植入到web提供给其他的用户使用的页面中.这些类型的漏洞由于黑客用来编写危害更大的网络钓鱼攻击.黑客界 共识是:跨站脚本攻击是新型的“缓冲区溢出攻击”,而JavaScript是新型 的“ShellCode”。 据360发布的《2016年中国网站安全漏洞形势分析报告》披露,XSS高居国内Web漏洞前三;
关于 XSS跨站脚本漏洞
辉小鱼的博客
09-05 1642
XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
web存储性跨站脚本漏洞验证特殊字符和语句
01-08
这是存储性跨站脚本验证的一些特殊语句,可以用来查看内网、系统、app、web是否存在XSS漏洞
【网络安全】跨站脚本XSS)攻击示例概念验证
A Little Bean
10-14 664
跨站脚本XSS)攻击中,有效负载是指希望在目标计算机上执行的JavaScript代码。有效负载由两个部分组成:意图和修改。意图是指你希望JavaScript实际执行的操作,而修改则是针对不同场景所需的代码更改。
XSS漏洞-01】XSS漏洞简介、危害与分类及验证
m0_64378913的博客
05-13 2万+
目录1 XSS漏洞简介2 XSS漏洞危害3 XSS漏洞分类3.1 反射型XSS3.2 存储型XSS3.3 DOM型XSS3.3.1 节点树模型3.3.2 DOM型XSS4 漏洞验证4.1 漏洞验证相关概念4.2 漏洞验证相关概念之间的区别4.3 常见POC5 XSS漏洞验证实例5.1 反射型XSS漏洞验证实例5.2 存储型XSS漏洞验证实例5.3 DOM型XSS漏洞验证实例6 总结参考文章 1 XSS漏洞简介 定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是
XSS跨站脚本漏洞详解
m0_64583632的博客
02-01 979
xss跨站脚本攻击详解
跨站脚本攻击XSS攻击)
m0_73146715的博客
03-30 969
跨站脚本攻击XSS)的三大类型(存储型XSS、反射型XSS、DOM型XSS)在应对方式上存在一些共同点和不同点。以下是它们的共同点和不同点的总结:共同点:1. 输入验证和清洗:所有类型的XSS攻击都应进行输入验证和清洗,以防止用户输入包含恶意脚本。2. 输出转义:在输出到网页之前,对所有用户输入进行转义,防止恶意脚本执行。3. 使用安全的编码实践:遵循安全的编码实践,如使用转义字符或安全的API来处理用户输入。
Java中的跨站脚本攻击XSS)处理技术
Oaklkm的博客
12-18 2536
跨站脚本攻击XSS)是网络攻击中非常常见的一种形式,对网站的安全性和用户的隐私构成了严重威胁。在Java开发中,我们应该采取一系列措施来防范和处理XSS攻击,包括输入验证、编码输出、使用安全的API、设置HTTP头、内容安全策略、输入过滤和使用安全的框架等。同时,我们还需要定期进行安全审计、更新和修补漏洞、监控和日志记录、定期培训、代码审查、测试和验证等措施来确保应用程序的安全性。
burpsuite靶场系列之客户端漏洞篇 - 跨站脚本(XSS)专题
weixin_50464560的博客
04-14 4057
https://www.anquanke.com/post/id/245953 本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者练习,本系列旨在以初学者视角出发对学习该学院内容及靶场练习进行全程记录并为其他初学者提供学习参考,希望能对初学者们有所帮助。 客户端漏洞篇介绍 相对于服务器端漏洞篇,客户端漏洞篇会更加复杂
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值