網站被XSS攻擊了,看圖,求分析一下?
01-03
頁面我還沒恢復,http://www.programmerslove.com/about
謝邀
說實話,我禁用了JS才敢點的鏈接。簡單來說,你是一點過濾都沒有做……我實在無法想像,現在居然還有人在如此明顯的位置不做任何過濾。
我們先看看代碼唄插在了哪裡:
這是偷cookie的,也就是他能用你賬號登錄的原因
下面我們看看JS腳本是如何插入的:
防禦的方法很簡單,在數據展示到前端之前,把將要放置到HTML頁面body里的不可信數據(所有用戶提交的都是不可信數據),進行HTML編碼。比如&<轉為<把&>轉為>,當然,一般來說前端開發語言都有現成的過濾函數,直接調用一遍就可以了。
抱歉我的測試導致了幾個彈窗~
題主如果需要安全方面的支持,可以留下評論,私信聯繫~
----------------------------------------------------------update--------------------------------------------------------
被X的慘不忍睹……記得刪掉這兩個用戶的所有信息~或者等修復了拿這倆用戶做防X測試也可以~http://www.programmerslove.com/user/552d31e40cf2f4d624e07f57http://www.programmerslove.com/user/552d38360cf2f4d624e07f5b----------------------------------------------------------update2------------------------------------------------------題主修復的挺快,不過不完善哦~研究一下新的彈窗怎麼過濾吧( ⊙ o ⊙ )這安全意識,不是咱們碼農對待愛情的態度
這個還不簡單嗎。。。js自定義函數過濾下就好了
推薦閱讀:
※如何推廣一個網站,基本思路或者是工具、手段有哪些?你見過的殺手級的推廣是什麼?
※如何建立互聯網運營知識體系?
※在運營管理過程中如何提高 UGC ?如何讓用戶更多的發布與網站主題有關的內容?
※Quora 里的段子手和營銷號目前是什麼狀況?
※C站為什麼沒有像A站、B站那樣比較火?