对于xss和sql注入的防范(美团网站xss例子)
来源:互联网 发布:nginx反向代理什么意思 编辑:程序博客网 时间:2024/05/29 15:03
对于xss和sql注入这样的漏洞有很多工具是可以检测的。
也是最常见的web安全问题。
其实这样的问题是很好避免的 只要在应用架构上 统一数据的吞吐,在吞吐的过程中做好数据的校验就ok了
最简单的php的 htmlspecialchars 就可以把一些危险字符进行转译
就可以大大减低xss和sql注入的可能性
也可以结合其他的函数进行更全面的过滤
http://blog.csdn.net/u014017080/article/details/53064300
其实最主要的是要做到数据的统一管理
在应用架构上保持统一的数据出口和入口是很必要的。对于GET POST的数据统一过滤之后在渲染进应用
总结:
1.入口过滤危险字符 2.出口控制危险输出
eg: 就像<script>决定的危险字符在插入数据的时候 直接替换成空。其余的像 “ ‘ / 等等 统一转译 \" \' \/ 吐出数据的时候统一转换成 “ ‘ / 或者 直接转换成html源码 < :< >:>
=================下面是一个美团的例子==================
首先在评论的地方我输入了一个<script>alert(1)</script>,发现在展示的时候<> 是会被转移成html编码来展示的 这样的话就没有办法了,囧。。。。
不过通过查看源码 我发现当点击编辑的时候 在txtarea中 文字是会被转译会原始字符展示的。所以我自己构造一个txtarea的闭合标签然后在<script>alert(1)</script>
这样就可以构造一段js注入</txtarea><script>alert(1)</script>
这样alert(1)就成功的注入进去了。but,这是个selfxss 所以不能干什么坏事。。。。。这是写一个简单的例子。 大家也可以自己试试哈 评价的时候输入</txtarea><script>alert(1)</script>然后刷新页面就可以了。
- 对于xss和sql注入的防范(美团网站xss例子)
- xss注入和防范的方法
- 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范
- 最近遇到的sql注入,目录遍历,xss的防范
- PHP xss 和 SQL 注入的问题
- XSS和SQL注入的汇总
- XSS攻击和防范
- PHP防止被xss和sql语句注入攻击的方法(网站和app通用)
- Web站点如何防范XSS、CSRF、SQL注入攻击
- xss的防范要点
- XSS攻击的防范
- XSS攻击的防范
- 字符过滤器和防止XSS攻击,SQL注入的过滤器
- SQL注入-XSS跨站
- sql注入 XSS
- 防止SQL注入和XSS攻击Filter
- 防止SQL注入和XSS攻击Filter
- xss攻击和SQL注入攻击
- 数据库缓存
- HDU-1690-Bus System
- SpringMVC深度探险(二) —— SpringMVC概览
- ubuntu 14.04 PCL 源码 编译 安装
- set
- 对于xss和sql注入的防范(美团网站xss例子)
- 数据库中文本和图片的插入
- 一个草根站长的SEO经验漫长之路
- Http协议详解
- 计算机中一些简单的概念
- zabbix基于SNMP 协议监控路由器
- lintcode,快乐数
- gradle执行脚本报错unsupported major.minor version 52.0
- BZOJ 3295 [CQOI2011] 动态逆序对