繁体   English   中英

如何开始修复网站中的XSS漏洞

[英]How to begin fixing XSS hole in website

我以前从未处理过XSS,但是刚刚收到来自访客的评论,我的网站存在XSS漏洞。

他很高兴向我提供了一个字符串,该字符串激活了显示用户Cookie的提示框。 我在此网站和webapp中有很多代码,如何找到并修复它? 我从哪里开始?

OWASP还提供了防止此类攻击的API。 这些API用几种编程语言编写。

您可以从此处下载这些API。

您为什么不去下载该API(以您首选的编程语言)并使用它来清理用户输入。

减少(而不是停止)XSS漏洞的一种简单方法是对所有输出进行HTML编码。 您还应该清除某人针对XSS漏洞提交的数据。 在.NET平台上,您可以使用antixss库,在PHP上,您可以使用strip_tags(),无论您使用什么平台,都应该有一些东西,但它们不会达到100%。 并在https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet中查看OWASP XSS备忘单

XSS可能很棘手,堆栈溢出,Gmail,Outlook Web Access过去都具有XSS漏洞。 但是,如果对所有输入和输出都遵循备忘单,则应该可以大大减少问题。 在您的代码中搜索任何回声或响应。

<?= ?>, <%= %>

在转到输入点之后,查找任何Request.Form或$ _GET或$ _POST,但是您正在获取数据输入。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM