110,538
社区成员
发帖
与我相关
我的任务
分享100分 求XSS跨站脚本攻击防御代码,可另加分
最近网站检测中发现存在XSS跨站脚本攻击漏洞,正想办法处理掉这个问题,有高手给予指点下啊,最好有代码,好的话可以再加分,谢谢了!
基本上攻击方法如下:
Login.asp?id=110%3c%2fsCrIpT%3e%3csCrIpT%3ealert(XSS)%3c%2fsCrIpT%3e
Login.asp?id="></XSS/*-*/STYLE=xss:e/**/xpression(alert(XSS))>
基本上攻击方法如下:
Login.asp?id=110%3c%2fsCrIpT%3e%3csCrIpT%3ealert(XSS)%3c%2fsCrIpT%3e
Login.asp?id="></XSS/*-*/STYLE=xss:e/**/xpression(alert(XSS))>
...全文
请发表友善的回复…
发表回复
lj419300010 2011-10-10
- 打赏
- 举报
asp的太不安全了,我们公司的也是这样的。 换成asp.net的吧,安全性高点
linosch 2010-04-08
- 打赏
- 举报
谢谢楼主,最近也被这东西搞烦了
zhangmou_tj 2009-07-27
- 打赏
- 举报
得好好学习学习了
yxhssj 2008-08-21
- 打赏
- 举报
可以把一些 参数 里面 的非法字符进行转义掉 Replace
csharpstudy 2008-08-21
- 打赏
- 举报
首先进行小字转换和URL解码:
C#中应该有urldecode 这个函数...注意编码方式.(utf-8/gb2312等)
然后进行一些单词过滤.如alert/xss
对于参数进行长度过滤最好.
像数字型的参数...一般不过超过8位吧.
并且对于数字弄的参数.要进行判断, 不能转换为数字型的,肯定是非法参数了.
办法就是对参数进行前处理
C#中应该有urldecode 这个函数...注意编码方式.(utf-8/gb2312等)
然后进行一些单词过滤.如alert/xss
对于参数进行长度过滤最好.
像数字型的参数...一般不过超过8位吧.
并且对于数字弄的参数.要进行判断, 不能转换为数字型的,肯定是非法参数了.
办法就是对参数进行前处理
BillMhw 2008-08-21
- 打赏
- 举报
就没人有这方面的经验吗
BillMhw 2008-08-21
- 打赏
- 举报
首先感谢楼上的几位,多谢回复!
我也在网上查了几天,找到了一些解决办法,总结一下,share给大家:
1)确定页面字符集
如GB2312
2)过滤掉参数中的特殊字符
% < > [ ] { } ; & + - " ' ( ) \ /,对参数长度进行判断,超长就认为非法
3)在显示时采用HTML编码
server.htmlencode(string)
OK,结贴了!
我也在网上查了几天,找到了一些解决办法,总结一下,share给大家:
1)确定页面字符集
如GB2312
2)过滤掉参数中的特殊字符
% < > [ ] { } ; & + - " ' ( ) \ /,对参数长度进行判断,超长就认为非法
3)在显示时采用HTML编码
server.htmlencode(string)
OK,结贴了!
正宗熊猫哥 2008-08-19
- 打赏
- 举报
菜鸟学习备份。期待HIGH手
LQknife 2008-08-19
- 打赏
- 举报
帮你顶哦
BillMhw 2008-08-19
- 打赏
- 举报
[Quote=引用 1 楼 gingerkang 的回复:]
很多介绍的,这种方式的途径比较多,要彻底避免或解决估计很难搞
[/Quote]
是比较难解决,所以请求高人指点
很多介绍的,这种方式的途径比较多,要彻底避免或解决估计很难搞
[/Quote]
是比较难解决,所以请求高人指点
BillMhw 2008-08-19
- 打赏
- 举报
多谢几位帮顶,期待高手啊...
gingerkang 2008-08-18
- 打赏
- 举报
很多介绍的,这种方式的途径比较多,要彻底避免或解决估计很难搞
