`
coding1688
  • 浏览: 236729 次
  • 来自: 上海
社区版块
存档分类
最新评论

改正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞

阅读更多

  XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

  没想到我的博客评论系统中存在XSS漏洞,现在已经修正。

   有位聪明的网友发现在发表评论“名称”中填写脚本可以被执行,比如他填写了 <script>alert(1);</script> 和 <script>while(1);</script>。这个代码直接导致浏览器报告网页脚本繁忙的警告信息。这位网友来 自:119.145.0.157 来自 广东省深圳市 电信,使用的浏览器:Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11。

 

   www.vktone.com博客系统使用了FreeMarker作为静态化引擎,在输出名称时没有添加?html对<>进行转义,因此造 成了这个问题。解决办法:将${comment.name}改为 ${comment.name?html}。因为正文部分前面已经进行了转义,${comment.content?html} 所以不能被利用。

  最后来看一下这位童鞋都进行了哪些尝试:

  这位童鞋还在服务器上进行了其他不光彩的行为,试图连接该服务器上的CVS服务。这不是你应当干的,童鞋!

 

 

 

5
1
分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics