XSS Cross Site Scripting
2016-09-17 10:54
369 查看
描述
由于提交数据时,没有对用户提交的数据进行核查,过滤非法字符,导致攻击者可以提交恶意代码存储到数据库中,达到持久型跨站攻击。恶意的用户可通过跨站脚本漏洞执行JS代码,进行挂马、篡改页面或截取管理员账号信息等操作,严重危害了系统安全稳定运行。
解决方法
对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。尽量采用POST 而非GET 提交表单;对”<”,”>”,”;”,”’”,“javascript”,“jscript”,“vbscript”等字符做过滤;任何内容输出到页面之前都必须加以encode,避免不小心把html tag 弄出来。
由于提交数据时,没有对用户提交的数据进行核查,过滤非法字符,导致攻击者可以提交恶意代码存储到数据库中,达到持久型跨站攻击。恶意的用户可通过跨站脚本漏洞执行JS代码,进行挂马、篡改页面或截取管理员账号信息等操作,严重危害了系统安全稳定运行。
解决方法
对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。尽量采用POST 而非GET 提交表单;对”<”,”>”,”;”,”’”,“javascript”,“jscript”,“vbscript”等字符做过滤;任何内容输出到页面之前都必须加以encode,避免不小心把html tag 弄出来。
相关文章推荐
- Reflected Cross Site Scripting (XSS)
- Cross Site Scripting Attacks: Xss Exploits and Defense
- 防止恶意代码注入XSS(cross site scripting)
- Stored Cross Site Scripting (XSS)
- XSS (Cross Site Scripting) Prevention Cheat Sheet(XSS防护检查单)
- PDF Cross Site Scripting (XSS) vulnerability
- XSS (Cross Site Scripting) Prevention Cheat Sheet
- XSS Attack Examples (Cross-Site Scripting Attacks)
- XSS(Cross Site Scripting)测试注意
- 怀疑博客被XSS(Cross Site Scripting)
- XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
- Cross-Site Scripting XSS 跨站攻击全攻略 分类: 系统架构 2015-07-08 12:25 21人阅读 评论(2) 收藏
- DOM Based Cross Site Scripting or XSS of the Third Kind
- Cross-Site Scripting XSS 跨站攻击全攻略
- Harvesting Cross Site Scripting (XSS) Victims - Clicks, Keystrokes and Cookies
- Web安全之XSS(Cross Site Scripting)深入理解
- XSS(Cross-site-scripting)跨站脚本攻击
- XSS(Cross-Site-Scripting)跨站攻击方式以及防御[待续]
- XSS (Cross-Site-Scripting)笔记
- XSS (Cross-Site-Scripting)笔记