【问题标题】:Need explanation on specific XSS attack vector需要解释具体的 XSS 攻击向量
【发布时间】:2011-12-25 05:27:34
【问题描述】:

所以我的学校网站被黑了,因为我的教授被 XSS 攻击了。所以我发现攻击者使用了这个XSS攻击向量

<img src="<img src=search"/onerror=alert("Xss")//">

谁能解释一下这个向量是如何工作的,你建议我如何设置我的网站以防止进一步的 XSS 攻击。为什么 img 在 img 标签内? 谢谢..

【问题讨论】:

    标签: xss


    【解决方案1】:

    简单地说,他正在结束你的 src 标签,然后插入他自己的 onerror 处理程序。无法加载图像时会调用 onerror。您可以防止这种情况转义所有用户输入 - 预计每个用户都试图入侵您的网站。

    在 PHP 中,您可以使用:

    strip_tags($_POST['val']):

    【讨论】:

    • 不,strip_tags() 不能解决问题,因为在许多情况下 xss 依赖于上下文。请参阅 owasp xss 预防备忘单。 HTML 属性中的 xss 可以在没有标签的情况下工作。
    • 感谢您的回答是的,我知道 Javascript 事件和 HTML,但是 img 中的 img 让我感到困惑,Erlend,感谢 OWASP,非常好的信息来源。
    猜你喜欢
    • 1970-01-01
    • 2011-03-04
    • 2011-12-16
    • 2022-01-08
    • 2011-02-16
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多