XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
没想到我的博客评论系统中存在XSS漏洞,现在已经修正。
有位聪明的网友发现在发表评论“名称”中填写脚本可以被执行,比如他填写了 <script>alert(1);</script> 和 <script>while(1);</script>。这个代码直接导致浏览器报告网页脚本繁忙的警告信息。这位网友来 自:119.145.0.157 来自 广东省深圳市 电信,使用的浏览器:Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11。
www.vktone.com博客系统使用了FreeMarker作为静态化引擎,在输出名称时没有添加?html对<>进行转义,因此造 成了这个问题。解决办法:将${comment.name}改为 ${comment.name?html}。因为正文部分前面已经进行了转义,${comment.content?html} 所以不能被利用。
最后来看一下这位童鞋都进行了哪些尝试:
这位童鞋还在服务器上进行了其他不光彩的行为,试图连接该服务器上的CVS服务。这不是你应当干的,童鞋!
- 源文【改正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞】最新版,请访问:
http://www.vktone.com/articles/xss-error-in-vktone-blog.html
相关推荐
**XSS跨站脚本攻击漏洞修复方法** XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将...
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终用户。XSS攻击主要分为以下两种类型: 1. **存储型XSS**(Persistent ...
可以修补动网论坛等php建的网站的跨站脚本攻击漏洞,修护XSS漏洞,此为php版的,还有asp版、aspx版,可以在本站下载 详情请参看:http://www.lbhao.com/detaile_ok-5-833.html
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
跨站脚本攻击是一种注入攻击,攻击者通过在网页中插入恶意脚本代码,当用户浏览该页面时,恶意脚本就会被执行。这种攻击方式可以窃取用户的敏感信息(如Cookie和Session ID等),进而实施进一步的攻击行为。根据攻击...
跨站脚本攻击(Cross-Site Scripting,简称XSS)是网络安全领域中一种常见的攻击方式,主要针对的是网络应用程序中的安全漏洞。XSS攻击利用了网页应用未能正确过滤用户输入或输出的数据,使得攻击者可以注入恶意脚本...
[转载]测试Web应用程序是否存在跨站点脚本漏洞.htm[转载]测试Web应用程序是否存在跨站点脚本漏洞.htm
HTTP拆分攻击技术:跨站脚本(XSS)与HTTP拆分攻击的结合.docx HTTP拆分攻击技术:跨站脚本(XSS)与HTTP拆分攻击的结合all.docx HTTP拆分攻击技术:跨站脚本(XSS)与HTTP拆分攻击的结合_(10).防御XSS攻击的策略....
XSS(Cross Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息或者操控用户的行为。这种攻击主要发生在Web应用中,攻击者通过注入恶意代码,使受害...
在这个"源代码-修补跨站脚本攻击漏洞.zip"文件中,我们很可能是看到了针对ASP应用的XSS漏洞修复方案。 XSS攻击主要有三种类型:存储型、反射型和DOM型。存储型XSS发生在数据被持久化到服务器并存储在数据库或其他...
跨站脚本漏洞(XSS)是网络安全领域中常见的攻击方式之一,主要发生在Web应用程序中。这种漏洞允许攻击者在用户浏览器中注入恶意脚本,从而可以窃取用户的敏感信息,比如Cookie、会话令牌或者执行其他恶意操作。在...
这个"基于PHP的修补跨站脚本攻击漏洞 php版.zip"压缩包很可能是为了提供一些关于如何在PHP项目中预防和修复XSS漏洞的资料或代码示例。 PHP中的XSS漏洞主要源于以下几个方面: 1. **不安全的数据输出**:当PHP程序...
xss 跨站脚本攻击是一种常见的 web 应用程序漏洞,攻击者可以inject 恶意脚本到网页中,从而获取用户的敏感信息或控制用户的浏览器行为。下面是 xss 跨站脚本攻击的一些常见类型: 1. 普通的 XSS JavaScript 注入:...
跨站脚本(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,主要发生在Web应用程序中,允许恶意用户向页面注入可执行的脚本代码。这种攻击方式能让攻击者窃取用户 cookie、会话令牌或其他敏感信息,甚至...
跨站脚本攻击(Cross-Site Scripting,简称XSS)是...综上所述,360的这个防注入跨站脚本攻击漏洞补丁是一个全面的解决方案,涵盖了多种服务器端技术,并提供了具体的防御措施,对于提升Web应用的安全性具有重要作用。
xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结: 1.xss跨站脚本攻击的定义 ...
PHP 跨站脚本攻击漏洞修复插件,php防护代码,依托360的360_safe3.php文件,使用方法:1.将360_safe3.php传到要包含的文件的目录,2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面...
可以修补动网论坛等aspx建的网站的跨站脚本攻击漏洞,修护XSS漏洞,此为aspx版的,还有asp版、php版,可以在本站下载 详情请参看:http://www.lbhao.com/detaile_ok-5-833.html
### 跨站脚本攻击实例解析 #### 一、跨站脚本攻击(XSS)概述 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络安全威胁,通常发生在网站未能正确处理用户输入的数据时。这种攻击通过注入恶意脚本到...