问:
,www.bthd2011.cn 网警说存在两个漏洞 麻烦给处理下
答:您好,已经调整了,请稍后再测试下,非常感谢您长期对我司的支持!
问:麻烦一下 天津这块的网警说那两块问题还是没解决 麻烦给看下
答:您好,http://www.bthd2011.cn/photo/index.php?key=&page=1"\’></textarea></script><a htef=//eye.webscan.360.cn/>webscan</a>
我司测试这个地址现在已经不能正常访问,请核实,谢谢
问:天津的网警说要按这个要求来,麻烦看下
3.1 跨站脚本攻击漏洞
方案一:
1.过滤用户输入的内容,检查用户输入的内容中是否有非法内容。如<>(尖括号)、"(引号)、 '(单引号)、%%uFF08百分比符号)、;(分号)、()(括号)、&(& 符号)、 (加号)等。
2.严格控制输出
可以利用下面这些函数对出现xss漏洞的参数进行过滤
1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。
2、htmlentities() 函数,用于转义处理在页面上显示的文本。
3、strip_tags() 函数,过滤掉输入、输出里面的恶意标签。
4、header() 函数,使用header("Content-type:application/json"); 用于控制 json 数据的头部,不用于浏览。
5、urlencode() 函数,用于输出处理字符型参数带入页面链接中。
6、intval() 函数用于处理数值型参数输出页面中。
7、自定义函数,在大多情况下,要使用一些常用的 html 标签,以美化页面显示,如留言、小纸条。那么在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。
各语言示例:
PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。
方案二:使用开源的漏洞修复插件。( 需要站长懂得编程并且能够修改服务器代码 )
3.2 页面异常导致本地路径泄漏
如果WEB应用程序自带错误处理/管理系统,请确保功能开启;否则按语言、环境,分别进行处理:
1.如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
修改php.ini中的配置行:display_errors = off
修改httpd.conf/apache2.conf中的配置行:php_flag display_errors off
修改php脚本,增加代码行:ini_set('display_errors', false);
2.如果是IIS并且是支持aspx的环境,可以在网站根目录新建web.config文件(存在该文件则直接修改)。
答:您好,已经帮您加了代码过滤,非常感谢您长期对我司的支持!
问:这是网警发给我的信息 麻烦您看下
页面路径泄露漏洞整改成功,但是跨站脚本攻击漏洞还是存在
http://www.bthd2011.cn/news/index.php?author=&catid=0&key=&myord=uptime&page=1&showdate=&showtj=&myshownums="'></textarea></script>< a href= >webscan</ a>
您访问这个链接
点击图片中我圈出的位置会发生跳转的
虽然跳转的页面被关了,但是那些违法人员可以植入另外的页面,进行跳转
答:您好,已经处理,再测试下,非常感谢您长期对我司的支持!
