19楼多个频道xss及修复 - 网站安全 - 自学php

1.过滤不足造成贮存型xss 详细说明：漏洞证明：这地方可以插任意标签和字符修复方案：过滤掉标记<>，过滤掉单双引号 2. 博客是很旧的程序了，自定义模块里可以插入任意的htm代码，但是过滤不足就xss了详细说明：在模块里过滤了一些常用的比如iframe这些在末尾是会加[.]，但是img这样的标签则对事件过滤欠妥，过滤方法和博客一样。只是对o开头的事件过滤了一次o.... 于是oonload这样的事件就可以成功绕过漏洞证明：修复方案：白名单? 自己选择吧 3.博客中flash的allowscriptaccess和allowNetworking设置不当 samedomain也是无法阻挡xss了，所以安全起见还是never，不never你也要清楚自己在干什么修复方案： allowscriptaccess=never 摘自 xsser_w@乌云

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did12376

更新时间：2022-09-13 阅读：41次