首页 体育 教育 财经 社会 娱乐 军事 国内 科技 互联网 房产 国际 女人 汽车 游戏

存储型XSS的攻防:不想做开发的黑客不是好黑客

2019-12-19

看到这儿,你或许仍是不理解HTML字符实体是什么。我举个比如吧,当你想在HTML页面上显现一个小于号时,浏览器会以为这是标签的一部分,因而,为了能在页面上显现这个小于号,咱们引入了HTML字符实体的概念,能够在页面上显现类似于小于号这样的特殊符号,而不会影响到页面标签的解析。

能够看到,咱们输入的内容悉数显现在页面上了。

但是却没有弹框。

咱们鼠标右键,检查网页源代码:

实际上,咱们输入的内容现已变成了HTML实体:

 iframe src= #106; #97; #118; #97; #115; #99; #114; #105; #112; #116; #58; #97; #108; #101; #114; #116; #40; #49; #41; 

无法被解析为js脚本。

黑客在当前场景下现已无法进犯了

开发者不应该只考虑关键字的过滤,还应该考虑特殊符号的过滤 。

黑客在面临不知道的状况时,要不断测验,这关于常识的储备量有较高的要求。

关于xss进犯,站在开发者视点来讲,仅仅用一个htmlentities函数根本能够做到防护,但是一个优异的开发者应该理解它的原理。站在黑客的视点来讲,面临环境的逐渐改变,条件的逐渐约束,进犯思路灵敏改变是对整个职业生涯有利的。

最终,我要说一句,java天下第一!

*本文原创作者:ABKing,归于FreeBuf原创奖赏方案,未经许可制止转载

热门文章

随机推荐

推荐文章