国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<dl id="i9ljl"><pre id="i9ljl"><optgroup id="i9ljl"></optgroup></pre></dl>

<li id="i9ljl"><cite id="i9ljl"></cite></li>

<ins id="i9ljl"></ins>

CSP的理解與繞過(guò)

2年前作者：Sx_zzz分類：Toy博客閱讀(13)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了CSP的理解與繞過(guò)。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

前言

剛學(xué)習(xí)完xss，把xsss-labs靶場(chǎng)都通了打算試試水，遇到此題[AFCTF 2021]BABY_CSP，借此機(jī)會(huì)學(xué)習(xí)下CSP

CSP簡(jiǎn)介

Content Security Policy
(CSP)內(nèi)容安全策略，是一個(gè)附加的安全層，有助于檢測(cè)并緩解某些類型的攻擊，包括跨站腳本（XSS）和數(shù)據(jù)注入攻擊。它實(shí)質(zhì)就是白名單制度，開發(fā)者明確告訴客戶端，哪些外部資源可以加載和執(zhí)行，哪些不可以。

CSP如何工作

通過(guò)響應(yīng)包頭（Response Header）實(shí)現(xiàn)：

Content-Security-policy: default-src 'self'; script-src 'self' allowed.com; img-src 'self' allowed.com; style-src 'self';

CSP指令

我們可以看出，有一部分是CSP中常用的配置參數(shù)指令，我們也是通過(guò)這些參數(shù)指令來(lái)控制引入源，下面列舉說(shuō)明：

script-src：外部腳本
style-src：樣式表
img-src：圖像
media-src：媒體文件（音頻和視頻）
font-src：字體文件
object-src：插件（比如 Flash）
child-src：框架
frame-ancestors：嵌入的外部資源（比如<frame>、<iframe>、<embed>和<applet>）
connect-src：HTTP 連接（通過(guò) XHR、WebSockets、EventSource等）
worker-src：worker腳本
manifest-src：manifest 文件
dedault-src：默認(rèn)配置
frame-ancestors：限制嵌入框架的網(wǎng)頁(yè)
base-uri：限制<base#href>
form-action：限制<form#action>
block-all-mixed-content：HTTPS 網(wǎng)頁(yè)不得加載 HTTP 資源（瀏覽器已經(jīng)默認(rèn)開啟）
upgrade-insecure-requests：自動(dòng)將網(wǎng)頁(yè)上所有加載外部資源的 HTTP 鏈接換成 HTTPS 協(xié)議
plugin-types：限制可以使用的插件格式
sandbox：瀏覽器行為的限制，比如不能有彈出窗口等。

除了Content-Security-Policy，還有一個(gè)Content-Security-Policy-Report-Only字段，表示不執(zhí)行限制選項(xiàng)，只是記錄違反限制的行為。它必須與report-uri選項(xiàng)配合使用。

Content-Security-Policy-Report-Only: default-src 'self'; ...; report-uri /my_amazing_csp_report_parser;

CSP指令值

介紹完CSP的指令，下面介紹一下指令值，即允許或不允許的資源

*： 星號(hào)表示允許任何URL資源，沒(méi)有限制；
self： 表示僅允許來(lái)自同源（相同協(xié)議、相同域名、相同端口）的資源被頁(yè)面加載；
data：僅允許數(shù)據(jù)模式（如Base64編碼的圖片）方式加載資源；
none：不允許任何資源被加載；
unsafe-inline：允許使用內(nèi)聯(lián)資源，例如內(nèi)聯(lián)<script>標(biāo)簽，內(nèi)聯(lián)事件處理器，內(nèi)聯(lián)<style>標(biāo)簽等，但出于安全考慮，不建議使用；
nonce：通過(guò)使用一次性加密字符來(lái)定義可以執(zhí)行的內(nèi)聯(lián)js腳本，服務(wù)端生成一次性加密字符并且只能使用一次；

例題

[AFCTF 2021]BABY_CSP

打開題目，在網(wǎng)絡(luò)的http請(qǐng)求發(fā)現(xiàn)nonce的值

CSP的理解與繞過(guò),xss,php,web安全這種情況下，script標(biāo)簽需要帶上正確的nonce屬性值才能執(zhí)行JS代碼
payload

<script nonce="29de6fde0db5686d">alert(flag)<script>

得到flag
CSP的理解與繞過(guò),xss,php,web安全文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-687673.html

到了這里，關(guān)于CSP的理解與繞過(guò)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

Web漏洞-XSS繞過(guò)和pikachu靶場(chǎng)4個(gè)場(chǎng)景(三)
★★實(shí)戰(zhàn)前置聲明★★ 文章中涉及的程序(方法)可能帶有攻擊性，僅供安全研究與學(xué)習(xí)之用，讀者將其信息做其他用途，由用戶承擔(dān)全部法律及連帶責(zé)任，文章作者不承擔(dān)任何法律及連帶責(zé)任。 1.1、XSS漏洞挖掘數(shù)據(jù)交互(輸入/輸出)的地方最容易產(chǎn)生跨站腳本，最重要的是考
2024年02月05日
瀏覽(19)
xss跨站之waf繞過(guò)及安全修復(fù)（28）
手工探針xss繞過(guò)waf規(guī)則打開靶場(chǎng)? 寫入跨站測(cè)試語(yǔ)句發(fā)現(xiàn)攔截 ?這里就做一個(gè)最經(jīng)典的方法，做一個(gè)拆分來(lái)確立攔截的是什么東西。去掉最后字符串，訪問(wèn)還是攔截，再去掉alert（1），訪問(wèn)還是攔截，再去掉尖括號(hào)里面一個(gè)字符。留下scrtp在訪問(wèn)一下，還是攔截了，拿
2024年02月13日
瀏覽(32)
WEB攻防基礎(chǔ)|PHP|過(guò)濾函數(shù)intval()繞過(guò)原理及方法
用于獲取變量的整數(shù)值；可使用指定的進(jìn)制?base?轉(zhuǎn)換（默認(rèn)是十進(jìn)制），返回變量?var?的?integer?數(shù)值。注意： intval()?不能用于?object，否則會(huì)產(chǎn)生NOTICE?錯(cuò)誤并返回?1。語(yǔ)法結(jié)構(gòu)： $var ，需要被轉(zhuǎn)換成integer的值； $base ，決定轉(zhuǎn)化時(shí)可所使用的進(jìn)制。如果 $base值為0，通
2024年01月16日
瀏覽(19)
Web安全之Content Security Policy(CSP 內(nèi)容安全策略)詳解
Content Security Policy是一種網(wǎng)頁(yè)安全策略，現(xiàn)代瀏覽器使用它來(lái)增強(qiáng)網(wǎng)頁(yè)的安全性?？梢酝ㄟ^(guò)Content Security Policy來(lái)限制哪些資源(如JavaScript、CSS、圖像等)可以被加載，從哪些url加載。 CSP 本質(zhì)上是白名單機(jī)制，開發(fā)者明確告訴瀏覽器哪些外部資源可以加載和執(zhí)行，可以從哪些url加
2024年02月13日
瀏覽(23)
PHP利用PCRE回溯次數(shù)限制繞過(guò)某些安全限制實(shí)戰(zhàn)案例
目錄一、正則表達(dá)式概述有限狀態(tài)自動(dòng)機(jī) 匹配輸入的過(guò)程分別是： DFA（確定性有限狀態(tài)自動(dòng)機(jī)） NFA（非確定性有限狀態(tài)自動(dòng)機(jī)）二、回溯的過(guò)程三、 PHP 的 pcre.backtrack_limit 限制利用例題一回溯繞過(guò)步驟： 1、運(yùn)行結(jié)果：可見無(wú)法匹配 2、嘗試匹配：依舊無(wú)法匹配 3、再
2024年02月13日
瀏覽(18)
Web安全測(cè)試(五)：XSS攻擊—存儲(chǔ)式XSS漏洞
結(jié)合內(nèi)部資料，與安全滲透部門同事合力整理的安全測(cè)試相關(guān)資料教程，全方位涵蓋電商、支付、金融、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等領(lǐng)域的安全測(cè)試，覆蓋Web、APP、中間件、內(nèi)外網(wǎng)、Linux、Windows多個(gè)平臺(tái)。學(xué)完后一定能成為安全大佬！全部文章請(qǐng)?jiān)L問(wèn)專欄：《全棧安全測(cè)試教程（0基礎(chǔ)
2024年02月10日
瀏覽(22)
Web安全之SQL注入繞過(guò)技巧
兩個(gè)空格代替一個(gè)空格，用Tab代替空格，%a0=空格： ??最基本的繞過(guò)方法，用注釋替換空格：使用浮點(diǎn)數(shù)：如果空格被過(guò)濾，括號(hào)沒(méi)有被過(guò)濾，可以用括號(hào)繞過(guò)。在MySQL中，括號(hào)是用來(lái)包圍子查詢的。因此，任何可以計(jì)算出結(jié)果的語(yǔ)句，都可以用括號(hào)包圍起來(lái)。而括號(hào)的兩
2024年02月07日
瀏覽(25)
【安全測(cè)試】Web應(yīng)用安全之XSS跨站腳本攻擊漏洞
目錄前言 XSS概念及分類反射型XSS(非持久性XSS) 存儲(chǔ)型XSS(持久型XSS) 如何測(cè)試XSS漏洞方法一：方法二： XSS漏洞修復(fù) 原則：不相信客戶輸入的數(shù)據(jù) 處理建議資料獲取方法以前都只是在各類文檔中見到過(guò)XSS，也進(jìn)行過(guò)相關(guān)的學(xué)習(xí)，但是都是一知半解，過(guò)了一段時(shí)間就忘了。
2024年02月14日
瀏覽(23)
web開發(fā)中的安全和防御入門——csp (content-security-policy內(nèi)容安全策略)
偶然碰到iframe跨域加載被拒絕的問(wèn)題，原因是父頁(yè)面默認(rèn)不允許加載跨域的子頁(yè)面，也就是的content-security-policy中沒(méi)有設(shè)置允許跨域加載。簡(jiǎn)單地說(shuō)，content-security-policy能限制頁(yè)面允許和不允許加載的所有資源，常見的包括： iframe加載的子頁(yè)面url js文件圖片、視頻、音頻、字
2024年02月14日
瀏覽(41)
第27天：安全開發(fā)-PHP應(yīng)用&TP框架&路由訪問(wèn)&對(duì)象操作&內(nèi)置過(guò)濾繞過(guò)&核心漏洞
1.TP框架-開發(fā)-配置架構(gòu)路由MVC模型參考：https://www.kancloud.cn/manual/thinkphp5_1 配置架構(gòu)-導(dǎo)入使用路由訪問(wèn)-URL訪問(wèn) 數(shù)據(jù)庫(kù)操作-應(yīng)用對(duì)象文件上傳操作-應(yīng)用對(duì)象前端頁(yè)面渲染-MVC模型 1.TP框架-安全-不安全寫法版本過(guò)濾繞過(guò) 1.內(nèi)置代碼寫法不合要求的代碼寫法-ThinkPHP5-自寫 2.框架
2024年04月25日
瀏覽(30)

<mark id="zp2kp"><font id="zp2kp"></font></mark>

<kbd id="zp2kp"></kbd>

<pre id="zp2kp"></pre>