【请官方检查确认】最新.NET版存在XSS 跨站脚本漏洞-领先建站CMS提供服务商我们专注于CMS建站产品的研发

kesion

<<返回列表上一个主题下一个主题打印本帖复制本帖地址

1860 查看	1 回复

主题：[ICMS]【请官方检查确认】最新.NET版存在XSS 跨站脚本漏洞 [收藏主题]

huazhang 当前离线

56 主题	8 广播	1 粉丝

添加关注

级别:学前班

用户积分:179 分
登录次数:23 次
注册时间:2012/9/1
最后登录:2015/12/24

当前不在线

huazhang 发表于：2013/7/25 14:27:19 | 只看该作者查看该作者主题楼主

做在线知识付费选科汛云开店

有课程找生源就上科汛课堂街

跨站脚本1

中危

XSS 跨站脚本漏洞

漏洞列表

http://网址/plus/link/Index.aspx

请求GET

参数KeyWord

测试数据

/plus/link/Index.aspx?LinkType=&classid=&wd=&searchType=0&KeyWord='><script>confirm(2193)</script>&button1=%E7%99%BB%E5%BD%95

假定所有输入都是可疑的，必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口，也包括HTTP请求中的Cookie中的变量，HTTP请求头部中的变量等；
不要仅仅验证数据的类型，还要验证其格式、长度、范围和内容；
不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行；
对输出的数据也要检查，数据库里的值有可能会在一个大网站的多处都有输出，即使在输入做了编码等操作，在各处的输出点时也要进行安全检查；
在网站发布之前建议测试所有已知的威胁；
部署Web应用防火墙；
加速乐已经可以防御该漏洞。请使用加速乐（http://www.jiasule.com），一键防御，让网站更快更安全。

科汛商学院助您快速入门

反对(0)

回到顶部

回到底部

底部

科汛官方当前离线

47268 主题	145 广播	405 粉丝

添加关注

级别:管理员

用户积分:101604 分
登录次数:7935 次
注册时间:2006/12/7
最后登录:2023/12/14
创始人

创始人

管理员

终身成就奖

当前不在线

科汛官方发表于：2013/7/25 16:35:34 | 只看该作者查看该作者主题沙发

一分钟快速开通线上知识店铺

此漏洞应该是不存在了，你可以测试下

http://i.kesion.com/plus/link/Index.aspx?LinkType=&classid=&wd=&searchType=0&KeyWord='><script>confirm(2193)</script>&button1=ç™»å½•

其中的script是被过滤了。

有课程找生源就上科汛课堂街

反对(0)

回到顶部

回到底部

底部

＜上一主题 | 下一主题＞

<< 返回列表

Powered By KesionCMS Version X1

厦门科汛软件有限公司 © 2006-2016 页面执行0.48438秒 powered by KesionCMS 9.0