账号通
    

账号  

密码  

1865

查看

1

回复
主题:[ICMS]【请官方检查确认】最新.NET版存在XSS 跨站脚本漏洞 [收藏主题]  
huazhang 当前离线

56

主题

8

广播

1

粉丝
添加关注
级别:学前班

用户积分:179 分
登录次数:23 次
注册时间:2012/9/1
最后登录:2015/12/24
huazhang 发表于:2013/7/25 14:27:19   | 显示全部帖子 查看该作者主题 楼主 
科汛在线考试系统(NET)
跨站脚本1

中危


XSS 跨站脚本漏洞





漏洞列表

http://网址/plus/link/Index.aspx


    请求GET

    参数KeyWord


    测试数据
    http://网址

    /plus/link/Index.aspx?LinkType=&classid=&wd=&searchType=0&KeyWord='><script>confirm(2193)</script>&button1=%E7%99%BB%E5%BD%95








  • 假定所有输入都是可疑的,必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等;
  • 不要仅仅验证数据的类型,还要验证其格式、长度、范围和内容;
  • 不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行;
  • 对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查;
  • 在网站发布之前建议测试所有已知的威胁;
  • 部署Web应用防火墙;
  • 加速乐已经可以防御该漏洞。请使用加速乐(http://www.jiasule.com),一键防御,让网站更快更安全。


 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.06250秒 powered by KesionCMS 9.0