XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
没想到我的博客评论系统中存在XSS漏洞,现在已经修正。
有位聪明的网友发现在发表评论“名称”中填写脚本可以被执行,比如他填写了 <script>alert(1);</script> 和 <script>while(1);</script>。这个代码直接导致浏览器报告网页脚本繁忙的警告信息。这位网友来 自:119.145.0.157 来自 广东省深圳市 电信,使用的浏览器:Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11。
www.vktone.com博客系统使用了FreeMarker作为静态化引擎,在输出名称时没有添加?html对<>进行转义,因此造 成了这个问题。解决办法:将${comment.name}改为 ${comment.name?html}。因为正文部分前面已经进行了转义,${comment.content?html} 所以不能被利用。
最后来看一下这位童鞋都进行了哪些尝试:
这位童鞋还在服务器上进行了其他不光彩的行为,试图连接该服务器上的CVS服务。这不是你应当干的,童鞋!
- 源文【改正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞】最新版,请访问:
http://www.vktone.com/articles/xss-error-in-vktone-blog.html
相关推荐
**XSS跨站脚本攻击漏洞修复方法** XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将...
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终用户。XSS攻击主要分为以下两种类型: 1. **存储型XSS**(Persistent ...
可以修补动网论坛等php建的网站的跨站脚本攻击漏洞,修护XSS漏洞,此为php版的,还有asp版、aspx版,可以在本站下载 详情请参看:http://www.lbhao.com/detaile_ok-5-833.html
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
跨站脚本攻击是一种注入攻击,攻击者通过在网页中插入恶意脚本代码,当用户浏览该页面时,恶意脚本就会被执行。这种攻击方式可以窃取用户的敏感信息(如Cookie和Session ID等),进而实施进一步的攻击行为。根据攻击...
【跨站脚本攻击(XSS)概述】 XSS,全称Cross Site Scripting,是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞向网页中注入恶意脚本,当其他用户浏览该页面时,这些脚本会被执行,从而可能窃取用户的敏感信息...
跨站脚本攻击(Cross-Site Scripting,简称XSS)是网络安全领域中一种常见的攻击方式,主要针对的是网络应用程序中的安全漏洞。XSS攻击利用了网页应用未能正确过滤用户输入或输出的数据,使得攻击者可以注入恶意脚本...
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的Web应用安全威胁,其核心在于利用网站对用户输入数据的处理不当,允许攻击者注入恶意脚本到网页中,这些脚本在用户浏览器上执行,进而窃取用户的敏感信息、篡改...
[转载]测试Web应用程序是否存在跨站点脚本漏洞.htm[转载]测试Web应用程序是否存在跨站点脚本漏洞.htm
这个"ASP源码—修补跨站脚本攻击漏洞.zip"压缩包文件显然是针对ASP应用的安全性,特别是修复跨站脚本(Cross-Site Scripting, XSS)攻击的解决方案。 跨站脚本攻击是网络安全领域中常见的一种攻击方式,它发生在...
跨站脚本漏洞(XSS)是网络安全领域中常见的攻击方式之一,主要发生在Web应用程序中。这种漏洞允许攻击者在用户浏览器中注入恶意脚本,从而可以窃取用户的敏感信息,比如Cookie、会话令牌或者执行其他恶意操作。在...
xss 跨站脚本攻击是一种常见的 web 应用程序漏洞,攻击者可以inject 恶意脚本到网页中,从而获取用户的敏感信息或控制用户的浏览器行为。下面是 xss 跨站脚本攻击的一些常见类型: 1. 普通的 XSS JavaScript 注入:...
跨站脚本攻击(Cross-Site Scripting,简称XSS)是...综上所述,360的这个防注入跨站脚本攻击漏洞补丁是一个全面的解决方案,涵盖了多种服务器端技术,并提供了具体的防御措施,对于提升Web应用的安全性具有重要作用。
可以修补动网论坛等aspx建的网站的跨站脚本攻击漏洞,修护XSS漏洞,此为aspx版的,还有asp版、php版,可以在本站下载 详情请参看:http://www.lbhao.com/detaile_ok-5-833.html
实验结果显示,WAVFinder在检测Web应用程序中的跨站脚本漏洞方面表现出色,相较于同类工具具有明显的优势,能够更有效地保护Web应用免受XSS攻击。 总之,《Web跨站脚本漏洞检测工具的设计与实现》一文不仅深入分析...
XSS(Cross-Site Scripting),即跨站脚本攻击,是一种常见的网络安全威胁,主要通过在受害者的浏览器环境中注入恶意脚本,从而实现对用户的攻击。这种攻击方式之所以能够成功,主要是因为恶意代码被误认为是合法的...
XSS 跨站脚本攻击是指攻击者在 web 应用程序中注入恶意脚本,从而达到攻击用户的目的。这些恶意脚本可以是 JavaScript、VBScript、ActiveX 等形式,攻击者可以通过这些脚本来 steal 用户的 Cookie、Session、密码等...
跨站脚本攻击,简称XSS,是一种常见的网络安全漏洞,主要发生在Web应用程序中。攻击者通过注入恶意脚本,利用网站的信任关系,对其他用户进行信息盗窃、身份冒用或恶意行为。XSS攻击通常分为反射型、存储型和DOM型三...
《XSS跨站脚本攻击剖析与防御》,完整版本。作者:邱永华,出版社:人民邮电出版社,ISBN:9787115311047,PDF 格式,扫描版,大小 67MB。本资源带有PDF书签,方便读者朋友阅读。 内容简介: 《XSS跨站脚本攻击剖析...