• LIKE
    2021-01-06
    老师好,针对系统内已存在的存储型xss漏洞要如何修复?是需要前端修改页面解析逻辑? 后端修改数据存储逻辑吗? 目前前端大佬直接把修复任务丢给后端处理了。

    作者回复: 可以在入库前处理,也可以在数据库查询出来之后处理,处理点确实是在后端

    
    1
  • 小炭
    2021-01-04
    如果是客户端处理的话,后端返回的数据有可执行脚本,那么前端针对转编码的逻辑是否可以绕过。

    作者回复: 前端如果是校验的话,是很容易绕过的,但是如果前端渲染是有处理代码的话,是有防御效果的。

    
    
  • 小炭
    2021-01-04
    存储性XSS是建议在服务器端处理,还是客户端处理。

    作者回复: 都可以呀,客户端处理之后虽然能被手工绕过,但是受害者并不会手工修改,所以其实也有防御效果。

    
    
  • hihihihi
    2020-12-06
    我在linux上起的beef和bwapp,为啥浏览器hook不上,就是online和offline的浏览器都没有

    作者回复: 1. 测试一下两台机器是否互通; 2. 检查一下js的代码是不是正确。

    
    
  • LIKE
    2020-11-11
    关于xss防御,也听到过一些不同的说法,说是在输出时进行检查处理。 主要是考虑到以为场景:多个终端的场景、xss复杂的变形、通过接口传输绕过页面,在输入时进行过滤要考虑到多端同步的问题、过滤可能不完全、输入和输出展示不一致。

    作者回复: 你说的是对的,确实可以再输出时进行处理,主要为了保证输入和输出显示的一致性,我们课程中对在HTML实体编码那里,已经是输出时进行的操作,同学可以再仔细观看这一节视频。

    
    
  • 大德
    2023-08-28 来自辽宁
    我选择的是 janes/beef root@ ~]# docker search beef NAME DESCRIPTION STARS OFFICIAL AUTOMATED phocean/beef BeEF framework for XSS browser exploitation … 13 [OK] beefsack/webify Turn shell commands into web services 1 janes/beef beef easy to use 14 [OK]
    
    
  • rock
    2022-09-15 来自北京
    可以用 janes/beef 吗?
    
    
  • 商小舟
    2021-12-17
    阿里云docker的beef镜像不支持arm架构的,安装会报错,有支持arm的么?
    共 1 条评论
    