网络优化

程序员该如何防御xss类漏洞

2019-09-12 热度:210 ℃

1、用户输入原样输出

利用方法:直接在输出的地方进行xss攻击

解决方案:
需要进行过滤,最常见的比如过滤 < 、>,
如下内容输入:

http://xxx.com/?umod=commentsoutlet&act=count&siteid=3&libid=9&dataid=1480&score=<img src=1 onerror=alert(1);>&func=haoping&_=1353475261886

分享给朋友:

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

相关文章

配置Apache防止webshell上传

配置Apache防止webshell上传

在Linux服务器的web应用中,经常需要上传文件到服务器上。不管是php的也好,jsp的也好,如果web程序对于上传检查不严格,可导致黑客上传webshell,对服务器安全威胁自不用说...

apache禁止调试web服务器防止xss攻击

apache禁止调试web服务器防止xss攻击

我们知道TRACE和TRACK是用来调试web服务器连接的HTTP方式.支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Traci...

动态Shellcode注入工具 Shellter

动态Shellcode注入工具 Shellter

  最近Shellter已经被正式收录到Kali Linux中,这是该项目发展至今最重要的一个里程碑。由于目前用于辅助渗透测试人员躲避安全软件的工具比较少,所以这里就请大...

linkedin数据库漏洞泄漏隐私

linkedin数据库漏洞泄漏隐私

【事件回放】 上周三晚上(6月6日),知名专业社交网站LinkedIn爆出部分用户账户密码失窃,LinkedIn主管文森特·希尔维拉(Vicente Silveira)在...

跨域资源共享(CORS)安全性浅析

跨域资源共享(CORS)安全性浅析

0×00 背景 提起浏览器的同源策略,大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写,所以出现了一些hack的方式来跨域。比如在同域...

传信网络开发网站源码的漏洞及修复

传信网络开发网站源码的漏洞及修复

编辑器漏洞默认后台ubbcode/admin_login.asp 数据库ubbcode/db/ewebeditor.mdb 默认账号密码yzm 111111 拿webshell方法...

MySQL机sqlserver注射和php注入

MySQL机sqlserver注射和php注入

最近在学习MySQL和sqlserver数据库,由于我的专业是信息安全,所以把web安全涉及到的注入全部总结了一下,里面涉及到内容比较多。希望想学习的提前要对这两种数据库有一定了解,才能...

dedecms(织梦)最新利用xss+csrf getshell 0day漏洞

dedecms(织梦)最新利用xss+csrf getshell 0day漏洞

dedecms的漏洞很多,但是厂商都是不做修复。 之前乌云爆的一个二次注入的漏洞,其中title能够xss,但是官方只是修复了注入,xss并没有修复,只是在title上加了addsla...

万能密码漏洞登录后台修复方案

万能密码漏洞登录后台修复方案

万能密码这是个比较老的漏洞了,如果你的网站存在这个漏洞,结果肯定非常的悲剧。任何一个初学黑客技术的新人都能很轻松的入侵掉你的网站。因为需要入侵存在这种漏洞的网站不存在任何的技术含量,简单...

跨站脚本攻击之反射型XSS

跨站脚本攻击之反射型XSS

 跨站脚本攻击之反射型XSS 实验原理 XSS又叫CSS (Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之...

请先 登录 再评论,若不是会员请先 注册