本站停止维护,已转移至laravel学习网;欢迎大家移步访问!

XSS攻击

比如在域名后:

index.php/Home/Device/deviceCx/"%20onmouseover=vxsdjt(6660)%20/41.html

这个 就会改变普通网站的 css路径


最近在项目中  测试项目 发现 单纯的使用

htmlspecialchars  

urldecode

strip_tags

UrlEncode

是无法防止跨站攻击的后来在构造方法中写下了如下代码



if(preg_match("/[ ',:;*?~`!@#$%^&+=)(<>{}]|\]|\[|\\\|\"|\|/",$url)){

echo"<script>alert('非法请求');history.go(-1);</script>";

exit();

曾经只有在面试的时候才会有问  跨站攻击。现在自己遇到啦。这只是最简单的。    请各位前辈给讲解下。防止在项目上线时才发现漏洞  ,谢谢各位。


转载请注明 :一沙网络原文出处:http://bbs.earnp.com/article/354
问题交流群 :562864481
0
作者没有开启打赏
发布时间 :2017-03-29 14:53:45
分享

5 个评论

  • 精彩
    回复
    2017-03-31 13:17

    貌似是我太菜了。安装了java环境    下载了软件。但是设置代理  上不了往  不知道啥情况

  • 无名氏
    回复
    2017-03-31 00:07

    多谢各位。我明天测试下

  • 一沙
    回复
    2017-03-30 09:50
    回复 无名氏

    你看一下快乐给你的建议,如果对自己的项目没有足够的自信,可以做一个全面的安全扫描,我推荐你使用burpsuite,他是一个常用的安全攻击工具,他的扫描工具你可以使用来检测一下自己网站是否存在xss,SQL注入等问题

  • 快乐
    回复
    2017-03-30 09:34

    XX攻击:跨站脚本攻击(Cross Site Scripting),我先告诉你我在黑站中怎么用:

    1. 获取当前登录用户的基本信息,cookie,然后根据cookie,登录用户或者管理后台,上马,拿shell,提权,最终拿下服务器

    2.劫持,导航到恶意网址,一方面是导航到自己的网页,引流,一方面是携带木马(自动下载木马),作为肉鸡发起CC攻击(跳转到要攻击网页),传播XSS蠕虫等

    二. 如何防止:

    1. 其实一些好的框架已经防止了xss攻击,比如laravel,你基本可以不用考虑xss攻击,只要你在输出用户信息的时候使用{{}},就不会运行Script脚本,达到防止xss

    2. 过滤掉<,>,/,等一系列标签,这样对方输入的Script在输出的过程中会被转译,就不会起到攻击的效果

    大概就说这么多,如果你有兴趣了解web安全方面的,你可以在论坛开贴,我和群主大大会和你一起交流的

  • 无名氏
    回复
    2017-03-29 16:43

    http://xxx.com/index.php/Home/Index/order/tid/cours/cours/order.php(POST)year=2017&room=1&month=02%3C%2fscript%3E%22%27%3E%3C%2Fiframe%3E%3CIFRAME+SRC%3D%22http%3A%2F%2Fwww.kvcbxbmh.com%2Fyhktf.html%22%3E这样的怎么过滤


要回复文章请先登录注册