dsiy62758 2017-04-24 11:52
浏览 315

为什么这个xss不起作用

I am just trying to exercise on xss and I want the alert box to pop up on echo which should work on echo. I am doing exercises based on concepts and hier I have a wrong usage of htmlspecialchars, which is vulnerable to xss. However this is not really working and I don't get why. here is my code

$name=htmlspecialchars($_GET['myname']);


echo "<HTML><body>";        
echo '<form action="">';
echo "name: <input type='text' name='myname' ><br>";

echo "<input type='submit' ></form>";

echo $name; // here I want the xss to execute a popup box

echo "</HTML></body>";

The input script looks like this.

<script>alert();</script>

I have also tried many alternatives. The script is displayed as I typed it and there is not alert box.

  • 写回答

2条回答 默认 最新

  • doujiao9866 2017-04-24 12:44
    关注

    I am doing exercises based on concepts and hier I have a wrong usage of htmlspecialchars, which is vulnerable to xss.

    You don't, though. You've used htmlspecialchars exactly as it's supposed to be used, and are thus protected against XSS here.

    评论

报告相同问题?

  • 为什么我这个xss不运行 javascript xss 前端
    2022-09-19 20:45
    回答 3 已采纳 设置dom的innerHTML,里面的js代码并不会执行,虽然是蓝色的,vue的xss注入一般通过v-html绑定富文本,但是包含script不会执行改为dom事件,比如img的onerror事件来自
  • 如何设计一个xss过滤器 java xss
    2023-03-06 17:25
    回答 2 已采纳 满足要求的XSS过滤器,可以采取以下步骤: 首先,定义一个过滤器类,该类包含一个过滤方法,用于接受需要过滤的输入字符串,然后返回已过滤的字符串。在过滤方法中,首先将输入字符串转换为小写字母,以防止大小
  • 有人知道这是什么原因吗?xss linux
    2023-03-08 15:50
    回答 2 已采纳 此错误消息通常表示 BeEF-XSS Web 服务器未运行或工作不正常。要解决问题,您可以尝试以下步骤: 检查BeEF-XSS服务是否运行:打开终端,输入命令“systemctl status b
  • 前端开源库-xss-filters
    2019-08-29 16:40
    前端开源库-xss-filtersXSS过滤器,安全的XSS过滤器-足够的输出过滤来防止XSS
  • 为什么Http-only可以用来防御XSS攻击? javascript web安全 有问必答 网络安全
    2022-10-11 20:31
    回答 3 已采纳 js获取不到设置cookie时添加了http-only属性的cookie内容,比如用户登录网站后的身份cookie值,cookie和身份session是关联一起的。但是xss还是可以做破坏,比如修改页
  • 关于论坛系统的防止XSS攻击的问题 vue.js xss 前端
    2023-04-19 18:41
    回答 3 已采纳 首先,XSS攻击(Cross-Site Scripting)是一种常见的Web安全漏洞,攻击者利用网站没有对用户提交的数据进行充分过滤或转义的漏洞,在网页中注入恶意脚本,以达到攻击目的。 在前端方面,
  • beef-xss打不开 apache linux php
    2023-03-08 23:03
    回答 2 已采纳 不知道你这个问题是否已经解决, 如果还没有解决的话: 给你找了一篇非常好的博客,你可以看看是否有帮助,链接:BeEF-XSS实验手记如果你已经解决了该问题, 非常希望你能够分享一下解决方案, 写成博客
  • XSS前端防火墙—无懈可击的钩子
    2021-03-03 22:31
    昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着...调用者无需关心上一级的细节,直管用就是了,即使有额外的操作对其也是不可见的。从最底层的指令拦截,到语言层面的虚函数继承,以及更高层次的面向切
  • 这个消毒是否有任何XSS泄漏 php xss
    2014-01-12 14:38
    回答 1 已采纳 From a security standpoint, there is no need to use your sanitize function as long as you escape /
  • jquery dom型xss手工利用 javascript jquery xss 有问必答
    2022-06-07 17:34
    回答 2 已采纳 贴出来的代码没看到具体html操作,notice这个扩展应该用到相关的html方法,可能存在xss注入漏洞,检查notice扩展的代码,相关参考 jquery html方
  • 程序里用了setAttribute(Stirng name, Object o)方法,如何对这个方法做xss处理 java xss
    2023-03-25 18:20
    回答 1 已采纳 参考GPT和自己的思路:你的代码是实现一个自定义的HttpServletRequestWrapper,用于在setAttrubute()方法中对传入的参数进行XSS处理。具体来说,stripXSS()
  • 前端安全之XSS攻击
    2021-02-25 15:59
    XSS(cross-sitescripting跨域脚本攻击)攻击是最...1.做个假设,当亚马逊在搜索书籍,搜不到书的时候显示提交的名称。2.在搜索框搜索内容,填入“[removed]alert('handsomeboy')[removed]”,点击搜索。3.当前
  • 网页被测出xss 漏洞,常态处理已经用上了,没有说为什么有xss. 只说有xss. 请问怎么处理呢? xss
    2022-04-22 18:11
    回答 1 已采纳 添加拦截器进行过滤处理,需要去除一些脚本字符如script,望采纳! import java.io.IOException; import javax.servlet.FilterChain;
  • 前端安全系列:如何防止XSS攻击?
    2021-02-25 00:04
    在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
  • 前端XSS脚本攻击
    2022-12-08 22:36
    超级嘟的博客 前端 xss 攻击
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 没有证书,nginx怎么反向代理到只能接受https的公网网站
  • ¥50 成都蓉城足球俱乐部小程序抢票
  • ¥15 yolov7训练自己的数据集
  • ¥15 esp8266与51单片机连接问题(标签-单片机|关键词-串口)(相关搜索:51单片机|单片机|测试代码)
  • ¥15 电力市场出清matlab yalmip kkt 双层优化问题
  • ¥30 ros小车路径规划实现不了,如何解决?(操作系统-ubuntu)
  • ¥20 matlab yalmip kkt 双层优化问题
  • ¥15 如何在3D高斯飞溅的渲染的场景中获得一个可控的旋转物体
  • ¥88 实在没有想法,需要个思路
  • ¥15 MATLAB报错输入参数太多