如何開始修復網站中的XSS漏洞
[英]How to begin fixing XSS hole in website
問題描述
我以前從未處理過XSS,但是剛剛收到來自訪客的評論,我的網站存在XSS漏洞。
他很高興向我提供了一個字符串,該字符串激活了顯示用戶Cookie的提示框。 我在此網站和webapp中有很多代碼,如何找到並修復它? 我從哪里開始?
2 個解決方案
解決方案1
0 2013-06-18 09:35:36
解決方案2
0 2013-06-18 09:40:45
減少(而不是停止)XSS漏洞的一種簡單方法是對所有輸出進行HTML編碼。 您還應該清除某人針對XSS漏洞提交的數據。 在.NET平台上,您可以使用antixss庫,在PHP上,您可以使用strip_tags(),無論您使用什么平台,都應該有一些東西,但它們不會達到100%。 並在https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet中查看OWASP XSS備忘單
XSS可能很棘手,堆棧溢出,Gmail,Outlook Web Access過去都具有XSS漏洞。 但是,如果對所有輸入和輸出都遵循備忘單,則應該可以大大減少問題。 在您的代碼中搜索任何回聲或響應。
<?= ?>, <%= %>
在轉到輸入點之后,查找任何Request.Form或$ _GET或$ _POST,但是您正在獲取數據輸入。
如何在禁用$ sceProvider的情況下利用Angular中的XSS
[英]How to exploit XSS in Angular with $sceProvider being disabled
使用Google Captcha的網站聯系表,我是否安全(XSS注入等)?
[英]Am I safe (XSS injection, etc) with my website contact form with Google Captcha?
PHP 安全測試為我提供了 GetHTMLValueString 的關鍵反射 XSS 警告,我該如何解決?
[英]PHP Security test gives me critical Reflected XSS warning for GetHTMLValueString, how can i fix?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.