55555555遭遇XSS跨站漏洞啊不知道如何解决
日期:2014-05-20 浏览次数:20620 次
55555555遭遇XSS跨站漏洞啊。不知道怎么解决
看了很多文档还是没搞明白什么意思啊?觉得只是写js当做url参数就会有问题,但是只是用这个有错误参数的人才会页面显示错乱。怎么会对正常访问的人有害呢?看了很多不懂得啊?有人能说说吗?
另外看了半天我计划在请求基类里对包含“<>”的url请求,返回“erroe”这个问题就解决了是吗?、
有明白的人能说说吗?谢谢啊
------解决方案--------------------
跨站,不知道你遇到的是那种我给你说中最简单的吧,原理都是一样的:
比如我现在有一个评论的列表页面.内容是从数据库select出来的,然后展示的。如果有恶意代码且网站没过滤就惨了。
详细如下:
1:用户输入以下评论内容,点击提交
<script>alert("aaa")/*可能是下载木马的或其他的代码*/</script>
2:后台程序保存到数据库
3:有人访问评论列表页面,从数据库select出内容,如果某页包含刚才用户提交的“<script>alert("aaa")/*可能是下载木马的或其他的代码*/</script>”内容。就会alert()东西了。
整个过程是由于对读取数据库的数据过滤不严导致。
不知道你的跨站是什么样的。
看了很多文档还是没搞明白什么意思啊?觉得只是写js当做url参数就会有问题,但是只是用这个有错误参数的人才会页面显示错乱。怎么会对正常访问的人有害呢?看了很多不懂得啊?有人能说说吗?
另外看了半天我计划在请求基类里对包含“<>”的url请求,返回“erroe”这个问题就解决了是吗?、
有明白的人能说说吗?谢谢啊
------解决方案--------------------
跨站,不知道你遇到的是那种我给你说中最简单的吧,原理都是一样的:
比如我现在有一个评论的列表页面.内容是从数据库select出来的,然后展示的。如果有恶意代码且网站没过滤就惨了。
详细如下:
1:用户输入以下评论内容,点击提交
<script>alert("aaa")/*可能是下载木马的或其他的代码*/</script>
2:后台程序保存到数据库
3:有人访问评论列表页面,从数据库select出内容,如果某页包含刚才用户提交的“<script>alert("aaa")/*可能是下载木马的或其他的代码*/</script>”内容。就会alert()东西了。
整个过程是由于对读取数据库的数据过滤不严导致。
不知道你的跨站是什么样的。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
