iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

2 Like 0 留言 1106 瀏覽

技術使用HttpOnly Cookie，Token 不會被 JS 讀取？

有朋友看到這篇「你知道 Cookie、LocalStorage、SessionStorage 的使用時機嗎？」內容，對於 Token 不被 JS 存取，這件...

rewrite ‧ 2025-05-24

1 Like 0 留言 1008 瀏覽

鐵人賽 IT 管理 DAY 25

30天從版控到code review的實踐指南系列第 25 篇

技術 Day 25. Code Review 安全性原則：XSS 篇

在整個前端開發過程中，包括 JavaScript, HTML, CSS 以及與後端的交互作用，安全性的考量在各個層面都至關重要。以下將針對不同語言在程式碼安全性...

mcshao ‧ 2024-10-09

0 Like 0 留言 380 瀏覽

鐵人賽 Security DAY 11

【開局地端紅隊小白與雲端資安的清晨Punch】系列第 11 篇

技術【開局地端紅隊小白與雲端資安的清晨Punch】Day11 DVWA 使用(XSS)

肆、DVWA 官方文件 --- Features 一、DVWA Security 注意: 2015版本已分為: impossible, high, medium...

xianyu ‧ 2024-08-21

0 Like 0 留言 549 瀏覽

鐵人賽 Security DAY 19

從 0 開始的 PT 學習生活系列第 19 篇

技術 [ Day 19 ]從 0 開始的 PT 學習生活 - 分析弱點05

昨天我們講了 XSS，目前針對這種類型的弱點一般都是采用 payload in response 的方式（俗稱手動），雖然也有像是 xssfork 這樣的自動掃...

rweng ‧ 2023-10-04 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

0 Like 0 留言 476 瀏覽

鐵人賽 Security DAY 18

從 0 開始的 PT 學習生活系列第 18 篇

技術 [ Day 18 ]從 0 開始的 PT 學習生活 - 分析弱點04

昨天講完了我們掃出來的第一個大方向 SQLi，并且介紹了相關的自動工具 sqlmap，那今天就讓我們先認識一下第二個弱點 —— XSS 到底是什麽 XSS Cr...

rweng ‧ 2023-10-03 ‧團隊每件事都壓死線的大家真的可以完賽嗎？

1 Like 0 留言 2433 瀏覽

鐵人賽自我挑戰組 DAY 27

30 天架設 Node.js - Express 框架：快速學習之路系列第 27 篇

技術 Day 27 - 安全性考慮：防止常見的 Web 攻擊

之前在介紹 express 串接資料庫的時候，有說到如果不小心可能會被駭客 SQL injection (SQL注入)，其實還有一些常見的網路攻擊，今天就是以這...

Abby ‧ 2023-09-28

0 Like 0 留言 1080 瀏覽

鐵人賽 Security DAY 9

進了資安公司當後端 RD 才入門資安會不會太晚了系列第 9 篇

技術 Day 9. Web Security - XSS 實戰（下）

前言今天來解這個的後面 3 題，希望可以順利解決！Google XSS Game - AppSpot Write-up Level 4/6 這題是一個計時器，...

macs ‧ 2023-09-23 ‧團隊這是可以免費看的嗎

0 Like 0 留言 951 瀏覽

鐵人賽 Security DAY 8

進了資安公司當後端 RD 才入門資安會不會太晚了系列第 8 篇

技術 Day 8. Web Security - XSS 實戰（上）

前言今天同樣找一題 XSS 題目練練手！這次我沒能在 picoCTF 上找到適合的題目 XD但是找到一個似乎是 Google 的 XSS Game：Googl...

macs ‧ 2023-09-22 ‧團隊這是可以免費看的嗎

0 Like 0 留言 849 瀏覽

鐵人賽 Security DAY 6

30日奪旗之旅 - 一個月不間斷研究CTF 系列第 6 篇

技術 Day 06 | [CTF．WEB] XSS 跨網站指令碼

XSS是甚麼？所謂XSS就是跨網站指令碼 Cross-site scripting 的簡稱，屬於指令碼注入的一種。基本上，XSS就是攻擊者在網頁插入惡意指令碼...

sayakohzk ‧ 2023-09-21 ‧團隊沙培小子

0 Like 0 留言 909 瀏覽

鐵人賽 Security DAY 7

進了資安公司當後端 RD 才入門資安會不會太晚了系列第 7 篇

技術 Day 7. Web Security - XSS 介紹

前言今天來介紹一下 XSS，在要寫鐵人賽之前，我也只知道基本的原理，如果大家有什麼想要補充的，歡迎留言告訴我！ XSS 種類依照腳本注入的位置不同，大致可分...

macs ‧ 2023-09-21 ‧團隊這是可以免費看的嗎

1 Like 0 留言 5509 瀏覽

技術 XSS攻擊(跨網站指令碼)的初步防範

關於XSS攻擊 XSS(Cross-site scripting)通常會透過網站與使用者可進行資料互動的物件，(如文字輸入框、網址列的GET參數等)插入惡意的J...

wanjan_chen ‧ 2023-08-28

0 Like 0 留言 934 瀏覽

技術【Hacker101 CTF】Micro-CMS v1：如何製造XSS可攻擊的程式碼？

當頁面的內容可以允許使用者輸入，例如：線上筆記軟體, 聊天對話框，如果沒有適當的檢核直接進行儲存，甚至進行執行，就有可能有XSS的疑慮。 /* 正常下 */ c...

rayminqaq ‧ 2023-07-23

0 Like 0 留言 1435 瀏覽

技術【Hacker101 CTF】Micro-CMS v1：XSS 攻擊

距離我上次發文已經過去兩天的時間了。這段時間我挑戰 Hacker101 CTF 上的 Micro-CMS v1 題目，並花了許多時間在網路上尋找其他人的解法。終...

rayminqaq ‧ 2023-07-19

1 Like 0 留言 3698 瀏覽

鐵人賽 Software Development DAY 17

ASP.NET Core 30 天旅程系列第 17 篇

技術 [Day17]-防止跨網站腳本 (XSS) 攻擊

跨網站腳本 (XSS) 是安全性弱點，可讓攻擊者將用戶端腳本 (通常是 JavaScript) 放在網頁中。當其他使用者載入受影響的頁面時，攻擊者的腳本將會執...

Olivia.C ‧ 2022-10-02 ‧團隊猴猴沒

0 Like 0 留言 4617 瀏覽

鐵人賽 Modern Web DAY 14

你 React 了嗎? 30 天解鎖 React 技能系列第 14 篇

技術 [DAY 14] 塞入你的 HTML-dangerouslySetInnerHTML

［情境任務］美食家：這是我第一次吃到這種味道，這道菜有著前所未有的新鮮味…你們的餐點真是太好吃了～我寫了餐點評論送給你們解師傅：哇！這怎麼好意思～太感謝了！...

Lala Code ‧ 2022-09-29

0 Like 0 留言 1535 瀏覽

技術淺談 Web 應用系統安全

跨站腳本攻擊(XSS) 攻擊 XXS就是透過網頁沒有適當篩選、處理文字造成的漏洞例如有用戶將<script>alert()</script&g...

Dada878 ‧ 2022-04-01

0 Like 0 留言 5734 瀏覽

鐵人賽 Security DAY 16

【CTF衝衝衝 - Web篇】系列第 16 篇

技術【第十六天 - XSS】

Q1. 什麼是 XSS? 跨網站指令碼(Cross-Site Scripting，通常簡稱為XSS) 駭客在瀏覽器插入惡意 Javascript，一旦受害者的...

super_baba ‧ 2021-09-30 ‧團隊來自行雲者研發基地的菁英們

0 Like 0 留言 5283 瀏覽

鐵人賽 Modern Web DAY 19

我與 ASP.NET Core 的 30天系列第 19 篇

技術 [Day19] 跨網站腳本攻擊(XSS) - 我與 ASP.NET Core 3 的 30天

跨網站腳本 (XSS) 是一種安全性弱點，可讓攻擊者將用戶端腳本放 (通常是 JavaScript) 網頁中。當其他使用者載入受影響的頁面時，攻擊者的腳本將會執...

ATai ‧ 2020-10-03

0 Like 0 留言 1473 瀏覽

鐵人賽自我挑戰組 DAY 10

JavaScript基礎30天系列第 10 篇

技術插入 HTML 標籤 DAY10

今天我們要來介紹使用JavaScript來操控HTML的方法(2種) innerHTML方法: 組完字串後，傳進語法進行渲染優點: 效能快缺點: 有資安的風險...

皮傑先生 ‧ 2020-09-25

4 Like 1 留言 2873 瀏覽

技術玩通靈 - Intigriti's 0521 XSS challenge (Clickjacking)

前言這是之前 Huli 大在前端社團分享的國外 XSS 挑戰。最近比較有時間來分享，當時「從0~提交通過」的通靈思路。組字串的細節可以參考 Huli 大後...

通靈亡 ‧ 2021-06-18

0 Like 0 留言 1459 瀏覽

鐵人賽自我挑戰組 DAY 11

大學 50 萬貸款的交代系列第 11 篇

技術 Day 11_如何從 XSS 惡夢中醒來

在 Day 10 中有介紹到，駭客用了什麼壞壞的手段，讓木須龍造訪網頁。因此在 Day 11 要介紹怎麼防範 XSS。好傻好天真的大學生當我大學第一次知道有...

lyuki ‧ 2020-09-14

1 Like 0 留言 1957 瀏覽

鐵人賽自我挑戰組 DAY 10

大學 50 萬貸款的交代系列第 10 篇

技術 Day 10 _ 怕啦.XSS Σ( ° △ °)

記得大學老師曾經說過，會對工程師開發的網頁構成威脅的人第一個就是天真可愛的使用者，告訴他應該怎麼輸入資料還是可以把系統搞出 Exception ，第二個就是看...

lyuki ‧ 2020-09-13

1 Like 0 留言 1544 瀏覽

技術 WPForms 聯絡表單跨站點腳本（XSS）漏洞的攻擊（2020 年 3 月 5 日）

資安公司 Astra Security 在 2020 年 3 月 5 日公開了這個 WordPress 知名表單外掛的 XSS 漏洞，由於 WPForms 聯...

Mack Chan ‧ 2020-03-07

3 Like 0 留言 6651 瀏覽

鐵人賽 Modern Web DAY 29

前端三十 - 成為更好的前端工程師系列第 29 篇

技術 29. [WEB] 網站常見的資安問題有哪些？

經過一番努力，精心打造的網站眼看就要部屬到正式環境了；但在網站對外之前，你有先仔細思考過你的網站安不安全嗎？在本系列文前面的旅程中，我們討論了許多語言特性、效...

Gary ‧ 2019-10-15 ‧團隊Wow Doge!

3 Like 1 留言 2800 瀏覽

鐵人賽 Security DAY 2

三十日之熄燈幽談-資安百物語系列第 2 篇

技術 [Day 02] 資安百物語：第一談：狸。XSS

狸、樹葉、與旅人 , 就如同駭客、網頁漏洞、與瀏覽器。日本傳說中總能看見妖怪的身影，從古書鳥山石燕的《今昔百鬼拾遺》與《百鬼夜行繪卷》...

kevineck ‧ 2019-09-18 ‧團隊喵喵喵

5 Like 1 留言 39131 瀏覽

鐵人賽 Security DAY 24

資事體大毒擋一面 - 資安防護深入淺出系列第 24 篇

達標好文技術 [Day24] 攻擊行為－反射式跨網站指令碼 Reflected XSS

天氣變涼了，大家要多注意保暖唷，小茶我有獨家保暖的絕招，p.s. 小朋友不可以學喔，葛格有練過。 Reflected XSS 跨網站指令碼（Cross-site...

小茶 ‧ 2017-01-08

1 Like 0 留言 18423 瀏覽

技術 Microsoft Anti-XSS 避免XSS攻擊

Microsoft Anti-XSS (Anti-Cross Site Scripting Library) 避免XSS攻擊原文出處：http://www.d...

mis2000lab ‧ 2014-11-05

8 Like 0 留言 18928 瀏覽

鐵人賽 IT技術鐵人 DAY 21

如何提升系統設計品質 - 技術與工具以.NET為例系列第 21 篇

技術 [如何提升系統品質-Day21]Security - Cross-Site Scripting(XSS)

上一篇提到了SQL injection的攻擊原理，以及如何透過parameter來避免SQL injection的發生。這一篇則要介紹在Web上可能容易被忽略的...

就是91 ‧ 2011-10-30

29 Like 10 留言 25436 瀏覽

達標好文技術如何開發夠安全的PHP網頁？

用PHP撰寫網頁時，該注意哪些寫法，避免安全性產生問題？首先要找出前端網頁中允許使用者輸入的部分，像是表單標籤<FORM>內允許輸入的欄位或選單部...

ithelp ‧ 2008-02-01

16 Like 8 留言 14253 瀏覽

達標好文技術如何撰寫安全程式碼 ?

身為一位程式人或軟體專案主管，總希望自行開發出的系統是安全的，但基於不同動機的系統開發，所要考量的安全性需求可能不同。不過想要撰寫安全的網頁程式碼，有些原則還是...

gamemaker01 ‧ 2008-02-01

技術 使用HttpOnly Cookie，Token 不會被 JS 讀取？