21,887
社区成员
发帖
与我相关
我的任务
分享200分求JS,VBScript中,能对客户端造成危害的关键字列表
小第现做一系统,
需要允许用户输入执行javaScript/vbscript. 但需要屏蔽一些恶意用户利用此功能对网站的其他访问者进行攻击的代码,但最好影响语言的一些基本功能.
小弟能力实在有限,找不着多少Js,vbs中该类关键字的列表,望各位高手指点一儿,小弟不甚感激!
目前以知的关键字有:
.cookie, .reg, .applet, wscript.
还有一些有潜在攻击危险:
1. 一些直接跳转到其他页面代码, .open, location. ,<form action='http://other.site.com'>
2. 直接包含其他站点script,如<script scr='http://other.site.com/script.js'>
这些攻击有一个共同特点,包含潜在的跳转关键字,使用http协议,不知道各位高人有无正则表达式可一次判断该代码有无潜在攻击危险?
需要允许用户输入执行javaScript/vbscript. 但需要屏蔽一些恶意用户利用此功能对网站的其他访问者进行攻击的代码,但最好影响语言的一些基本功能.
小弟能力实在有限,找不着多少Js,vbs中该类关键字的列表,望各位高手指点一儿,小弟不甚感激!
目前以知的关键字有:
.cookie, .reg, .applet, wscript.
还有一些有潜在攻击危险:
1. 一些直接跳转到其他页面代码, .open, location. ,<form action='http://other.site.com'>
2. 直接包含其他站点script,如<script scr='http://other.site.com/script.js'>
这些攻击有一个共同特点,包含潜在的跳转关键字,使用http协议,不知道各位高人有无正则表达式可一次判断该代码有无潜在攻击危险?
...全文
请发表友善的回复…
发表回复
screend 2005-01-15
- 打赏
- 举报
楼上的可不可以讲具体一点?
各位大侠还有什么其他解决办法吗?
各位大侠还有什么其他解决办法吗?
xuzuning 2005-01-10
- 打赏
- 举报
2楼大哥说的,document.write chr(20),能用数字写出script来,能给一个具体点的例子吗?比如alert('abc')该怎么写?
<script>
s = "alert('abc')";
ar = new Array();
for(i=0;i<s.length;i++)
ar[i] = s.charCodeAt(i);
document.write(ar);
s = "";
for(i=0;i<ar.length;i++)
s += String.fromCharCode(ar[i]);
document.write(s);
</script>
<script>
s = "alert('abc')";
ar = new Array();
for(i=0;i<s.length;i++)
ar[i] = s.charCodeAt(i);
document.write(ar);
s = "";
for(i=0;i<ar.length;i++)
s += String.fromCharCode(ar[i]);
document.write(s);
</script>
screend 2005-01-10
- 打赏
- 举报
刚才在网上找到一篇文章,说江民的网页恶意代码查杀,比特动态滤毒技术跟这个解决方案类似,各位高人有没有这个病毒库文件啊?小弟很急
screend 2005-01-10
- 打赏
- 举报
因为实际上产品已经做好了,很多功能允许用户输入script,所以不可能直接禁止用户输入script.
但是现在要为该产品增加安全保护功能,楼上提到的onclick,onmouseove确实有潜在危险,是一个很容易被触发的事件,但是这并不能直接造成攻击,必须跟其他能造成攻击的语句组合使用才可以。
2楼大哥说的,document.write chr(20),能用数字写出script来,能给一个具体点的例子吗?比如alert('abc')该怎么写?
但是现在要为该产品增加安全保护功能,楼上提到的onclick,onmouseove确实有潜在危险,是一个很容易被触发的事件,但是这并不能直接造成攻击,必须跟其他能造成攻击的语句组合使用才可以。
2楼大哥说的,document.write chr(20),能用数字写出script来,能给一个具体点的例子吗?比如alert('abc')该怎么写?
leinchu 2005-01-10
- 打赏
- 举报
runat,runat,cookie,替换所有&# ' 。
Cain 2005-01-10
- 打赏
- 举报
学习
up
up
screend 2005-01-10
- 打赏
- 举报
谢谢唠叨老大!
这里没有各位高人以前做过类似解决方案的吗?
这里没有各位高人以前做过类似解决方案的吗?
neilxp 2005-01-09
- 打赏
- 举报
这个最危险
CreateObject
CreateObject
-神仙- 2005-01-09
- 打赏
- 举报
onclick=......
onmousemove=.....
onmousemove=.....
hhjjhjhj 2005-01-09
- 打赏
- 举报
如document.write chr(20)
这样能用数字写出script代码来。
这样能用数字写出script代码来。
hhjjhjhj 2005-01-09
- 打赏
- 举报
"允许用户输入执行javaScript/vbscript"----不是一个好主意
