XSS跨站脚本漏洞 /plus/link/-领先建站CMS提供服务商我们专注于CMS建站产品的研发

kesion

<<返回列表上一个主题下一个主题打印本帖复制本帖地址

2339 查看	3 回复

主题：XSS跨站脚本漏洞 /plus/link/ [收藏主题]

转到：

yellowside 当前离线

80 主题	2 广播	0 粉丝

添加关注

级别:学前班

用户积分:1996 分
登录次数:233 次
注册时间:2009/3/12
最后登录:2019/12/12

当前不在线

yellowside 发表于：2013/5/16 8:53:33 | 显示全部帖子查看该作者主题楼主

科汛在线商城系统(NET)

一分钟快速开通线上知识店铺

KEESION .NET版本ICMS V1.0.3
漏洞级别:中危漏洞名称: XSS跨站脚本漏洞
详细内容: /plus/link/
修复建议:

假定所有输入都是可疑的，必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口，也包括HTTP请求中的Cookie中的变量，HTTP请求头部中的变量等。
不要仅仅验证数据的类型，还要验证其格式、长度、范围和内容。
不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行。
对输出的数据也要检查，数据库里的值有可能会在一个大网站的多处都有输出，即使在输入做了编码等操作，在各处的输出点时也要进行安全检查。
在网站发布之前建议测试所有已知的威胁。

检测服务：知道创宇scanv http://www.scanv.com

千奇数据-优秀域名主机提供商：www.qianqi.net 冰豆网-新一代清新个性化的安全网址导航：www.bingdou.net

做新职业技能培训平台就选#科汛网校

反对(0)

回到顶部

回到底部

底部

＜上一主题 | 下一主题＞

Powered By KesionCMS Version X1

厦门科汛软件有限公司 © 2006-2016 页面执行0.05859秒 powered by KesionCMS 9.0