1、如何繞過html代碼過濾
一般情況下你都繞不過!
除非是那種很傻的網站,只在前台用js過濾,伺服器端沒過濾的網站程序,這種你直接通過地址欄把數據提交出去就行了,不過這種很傻的網站這個年代基本上找不到了。
看樣子你是想到論壇發東西,現在的論壇你沒機會,html過濾和訪注入都做得很到位了。
2、如何防止html注入
HTML防注入。
一般的html注入都是在字元串中加入了html標簽,用下JAVA代碼可以去掉這部分代碼。
代碼如下,自己封裝成方法即可。
String msge = "asdasdasdasd <div id=\"f\">asdfsdf";
System.out.println(msge);
msge = msge.replace("&", "&");
msge = msge.replace("<", "<");
msge = msge.replace(" ", " ");
msge = msge.replace(">", ">");
msge = msge.replace("\"", """);
msge = msge.replace("'", "&qpos;");
System.out.println(msge);
3、有什麼 繞過 htmlentities 進行 xss 攻擊的方法嗎
函數:htmlentities(string,quotestyle,character-set)
參數二是可選的。
規定如何編碼單引號和雙引號。
ENT_COMPAT - 默認。僅編碼雙引號或不成對的單引號。
ENT_QUOTES - 編碼雙引號和單引號。
ENT_NOQUOTES - 不編碼任何引號。
參數三也可選的,是轉換的字元集類型。
有這么一種情形:當我們使用這個函數的時候,使用了參數二。設置了過濾掉雙引號很單引號這些東西(或許不編碼)就容易出現XSS。
如:
<?php
echo htmlspecialchars($_GET[url], ENT_QUOTES);
?>
替換掉url裡面的單引號和雙引號,看起來是過濾的不錯的,但是如果這個url沒有出現單引號或雙引號呢?或者雙引號和單引號以另外的情況出現呢(二次編碼)?
關於二次編碼:
<script>alert(document.cookie)</script>
如UTF-7編碼後的
+ADw-SCRIPT+AD4-alert(document.cookie)+ADw-/SCRIPT+AD4-
最終為:
%2bADw-SCRIPT%2bAD4-alert(document.cookie)%2bADw-%2fSCRIPT%2bAD4-
可以考慮用於對付那些沒有設置字元集,並且過濾了 <>的情況。
4、java web 如何防止 用戶繞過js驗證,直接地址欄提交表單或自己編寫html頁面,提交數據到伺服器?
一個簡單的方法是,在用戶獲取html頁面的時候,後台生成一個(MD5)字串(假設為k),並且返回給前端。
提交表單的時候,順帶也把這個k一起提交。
在處理提交的地方(後台),去校驗這個k,看看是不是自己生成的。
如果用戶偽造http請求,那麼自然是不帶k的,或者k是錯誤的。
還可以判斷http請求頭,比如UserAgent之類的,用於 輔 助 判斷請求的合法性。
5、如何讓瀏覽器跳過主域名證書檢測子域名的證書
1,在IE瀏覽器的菜單中點擊「工具 /Internet選項」,選擇「內容」標簽,點擊「證專書」按鈕,然後就屬可以看到IE瀏覽器已經信任了許多「中級證書頒發機構」和「受信任的根證書頒發機 構。當我們在訪問該網站時,瀏覽器就會自動下載該網站的SSL證書,並對證書的安全性進行檢查。
2,由於證書是分等級的,網站擁有 者可能從根證書頒發機構領到證書,也可能從根證書的下一級(如某個國家的認證中心,或者是某個省發出的證書)領到證書。假設我們正在訪問某個使用 了 SSL技術的網站,IE瀏覽器就會收到了一個SSL證書,如果這個證書是由根證書頒發機構簽發的,IE瀏覽器就會按照下面的步驟來檢查:瀏覽器使用內 置的根證書中的公鑰來對收到的證書進行認證,如果一致,就表示該安全證書是由可信任的頒證機構簽發的,這個網站就是安全可靠的;如果該SSL證書不是根服 務器簽發的,瀏覽器就會自動檢查上一級的發證機構,直到找到相應的根證書頒發機構,如果該根證書頒發機構是可信的,這個網站的SSL證書也是可信的。
6、測試是否可以html注入
<h1> h1兩邊的「<」小於、「>」大於符號會被轉義,HTML是不可能被注入的。
7、XSS 攻擊時怎麼繞過 htmlspecialchars 函數
繞不過。
所謂繞過就是挑程序員忘記正確轉碼的地方下手。
注意並非htmlspecialchars就萬事大吉,不同的地方需要不同的轉碼。所以所謂繞過htmlspecialchars也可能指那個漏洞點用htmlspecialchars轉碼壓根不正確。
8、HTML靜態頁怎麼注入?怎麼才能找到注入點?
注入漏洞是代碼不嚴謹而可以注入特殊的SQL語句形成的,一般CMS為了節省CPU使用率而生成靜態頁面,是不能注入的,有的CMS可以做到除了搜索和登錄等必須動態的前台全靜態,除非你能找到動態頁面並且有注入漏洞,你才能注入。
9、html頁面是怎麼注入代碼的?可以怎麼防?
樓主的問法有問題,html能夠防注入嗎,沒聽說過。應該是asp怎麼防止注入,通常的的注入主要指sql注入,不是一兩句話能夠說清楚的,網路一下,很多關於這方面的,總之就是屏蔽敏感詞啊,注釋啥的