Asp.net环境中的跨站脚本攻击环境搭建与试验

省略一万字的XSS介绍.....................

存储型XSS:

第一种,通过参数传递的攻击:

假如把一个页面把参数直接输出到div里,代码如下

protected void Page_Load(object sender, EventArgs e)
{
   string paramStr = Request.QueryString["p"]!=null ?                         Request.QueryString["p"].ToString() : "";
            div1.InnerHtml = paramStr;
}

前台代码如下:

<div runat="server" id="div1"></div>

如果用户在正常情况下输入

http://localhost:20885/WebForm1.aspx?p=银河最帅

会得到下面的结果

此时页面源代码为:

如果提交一段HTML代码

http://localhost:20885/WebForm1.aspx?p=</div><script>alert(‘xss‘)</script><div>

会发现alert(xss)被执行

再看源代码:

第二种,通过用户输入框的攻击:

前台代码如下:

<div id="div3"></div>
    <input id="txt2" type="text" />
    <input id="btn2" type="button" onclick="setXSS()" />

        <script type="text/javascript">
         //使用id的方式获取
         $(document).ready(function(){

             $("#btn2").click(function(){
                 var result1 = $("#txt2").val();
                 $("#div3").html(result1);
             });

         });
        </script>

在输入框输入:</div><script>alert(/xss/)</script><div>

点击按钮后会出现

时间: 2024-10-11 19:47:22

Asp.net环境中的跨站脚本攻击环境搭建与试验的相关文章

ASP.NET脚本过滤-防止跨站脚本攻击(收集别人的)

ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力.当用户试图用<xxxx>之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin.默认情况下会返回如下文字的页面: Server Error in '/YourApplicationPath' Application A potentially dangerous Request.Form value was detected from

在没有RedirectAttributes的环境中如何在重定向环境中报错错误提示信息供页面使用

Spring在无RedirectAttributes的情况下(如Interceptor.filter中)使用Flash scope 今天遇到一个应用场景: 在需要在自定义的Interceptor中判断用户密码是否过期,如果过期,则重定向到修改密码页,强制修改密码,同时给出提示:“您的密码已过期,请修改密码” 判断逻辑很简单,但是重定向的时候需要前台有消息提示,如果是在Controller中,可以在方法上注入RedirectAttributes参数,但是Interceptor中默认没有这个参数,那

Netsreen NSRP环境中如何同步配置

NSRP环境中如何同步配置 环境: 1.FW1为主设备 2.FW2为从设备 3.确定FW1上的配置为当前正常工作 以下命令在FW2上执行: nsisg2000(B)-> exec nsrp sync global save 随后将出现以下输出: nsisg2000(B)-> load peer system config to save Save global configuration successfully. Continue to save local configurations .

ASP.NET Web API WebHost宿主环境中管道、路由

ASP.NET Web API WebHost宿主环境中管道.路由 前言 上篇中说到ASP.NET Web API框架在SelfHost环境中管道.路由的一个形态,本篇就来说明一下在WebHost环境中ASP.NET Web API框架中的管道.路由又是哪一种形态. ASP.NET Web API路由.管道 ASP.NET Web API 开篇介绍示例 ASP.NET Web API 路由对象介绍 ASP.NET Web API 管道模型 ASP.NET Web API selfhost宿主环境

[掌眼]解决Castle.ActiveRecord在ASP.NET或WCF环境中HttpContext.Current无效的错误

AR設定檔要指定threadinfotype,不指定的話,預設值是用WebThreadScopeInfo,是用 HttpContext.Current.Items 來存放 SesionScope,所以碰到與UI無關的執行緒,沒有 HttpContext.Current 程式就掛啦. 解决方案一: 1.检查“web.config” <activeRecord isWeb="true" isDebug="false"> <config>... .

.NET跨平台之旅:生产环境中第2个跑在Linux上的ASP.NET Core站点

今天我们在生产环境中上线了第2个跑在Linux上的ASP.NET Core站点.这是一个简单的Web API站点,通过命令行的方式调用安装在Linux服务器上的程序完成操作.之前用的是nodejs,现在换成了ASP.NET Core,主要代码如下: var psi = new ProcessStartInfo(command, arguments) { RedirectStandardOutput = true, RedirectStandardInput = true, CreateNoWin

.NET跨平台之旅:在生产环境中上线第一个运行于Linux上的ASP.NET Core站点

2016年7月10日,我们在生产环境中上线了第一个运行于Linux上的ASP.NET Core站点,这是一个简单的提供后端服务的ASP.NET Core Web API站点. 项目是在Windows上用V2015开发的,以self-contained应用部署方式发布到Linux服务器.Linux服务器用的是Ubuntu 14.04,站点通过supervisor以服务方式运行,部署在2台阿里云服务器上,用了1台阿里云内网负载均衡. 虽然是很简单的站点,虽然是很小的一步,但是进入生产环境就意味着对性

ASP.Net Core 中使用Zookeeper搭建分布式环境中的配置中心系列一:使用Zookeeper.Net组件演示基本的操作

前言:马上要过年了,祝大家新年快乐!在过年回家前分享一篇关于Zookeeper的文章,我们都知道现在微服务盛行,大数据.分布式系统中经常会使用到Zookeeper,它是微服务.分布式系统中必不可少的分布式协调框架.它的作用体现在分布式系统中解决了配置中心的问题,以及解决了在分布式环境中不同进程之间争夺资源的问题,也就是分布式锁的功能以及分布式消息队列功能等等.所以在微服务的环境中Zookeeper是现在很多公司首选的分布式协调框架,包括我之前的公司也在使用Zookeeper.说了这么多,没别的就

【新书推荐】《ASP.NET Core微服务实战:在云环境中开发、测试和部署跨平台服务》 带你走近微服务开发

<ASP.NET Core 微服务实战>译者序:https://blog.jijiechen.com/post/aspnetcore-microservices-preface-by-translator/ "微服务"的概念在 2014 年正式提出之后,越来越多的团队开始用它来设计自己的业务系统,各种微服务框架和开发过程管理方法也同时兴起.不断成熟.微服务设计方法清晰地定义了各个开发团队的业务边界,微服务框架以不同的方式实现了服务之间的协作与集成,根据康威定律我们可以推导这