这是一个创建于 4013 天前的主题,其中的信息可能已经有所发展或是发生改变。
但是根据它的提示试了下没什么问题啊,也没有alert的弹窗。 好害怕。
求高手私下指导,小弟QQ是 77963306
以下是细节:
漏洞上线时间:
2011-07-02
漏洞名称:
跨站脚本攻击漏洞
漏洞类型:
跨站脚本攻击(XSS)
所属服务器类型:
通用
漏洞风险:
1. 存在 "网站用户资料泄露" 风险
2. 安全性降低40%
3. 全国 32% 网站有此漏洞, 677个站长进行了讨论
检测时间:
2015-02-08 03:18:42
漏洞证据:
<script>alert(42873)</script>
漏洞地址:
http://马赛克/20
解决方案:
方案一:避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多语言都有提供对HTML的过滤:
可以利用下面这些函数对出现xss漏洞的参数进行过滤
PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。
方案二:使用开源的漏洞修复插件。( 需要站长懂得编程并且能够修改服务器代码 )
具体可以参考: http://webscan.360.cn/group/topic/tid/4571
 | 1 Oi0Ydz26h9NkGCIz 2015 年 2 月 9 日 我有个2014年建的站被360说是存在安全隐患,上次安全隐患发现时间是2012年,我这域名才是2014年注册的,且之前无此域名。 |
 | 4 invite 2015 年 2 月 9 日 很明显,360不靠谱,哈哈。 |
 | 5 typcn 2015 年 2 月 9 日  2 360 说有漏洞那就卸载 360 呗 很简单 |
| 6 Oi0Ydz26h9NkGCIz 2015 年 2 月 9 日 @ytf4425 这是个2014年才放出来的新域,2013年不可能存在。 |
 | 7 MeirLin 2015 年 2 月 9 日 应该是反射吧.. 危害小 强迫症的话就看看是哪个参数,然后针对过滤转义就行了 网站漏洞扫描的,AppScan |
 | 8 whisperer 2015 年 2 月 9 日 重新扫描即可 |
 | 10 pubby 2015 年 2 月 9 日 via Android 有时候是有误判的,比如用户输入的东西放在js变量中,某些检测就认为你有xss漏洞 |
 | 11 RIcter 2015 年 2 月 9 日 via iPhone 2 ls 们别啥都不知道就无脑黑好么。 可能是 Chrome 的 filter 给过滤了,试试 Firefox 打开。 |
 | 12 tonghuashuai 2015 年 2 月 9 日 360 认为,他不认识的就是病毒,他没见过的就是漏洞 |
 | 13 eastphoton 2015 年 2 月 9 日 360就算知道网站源码也不能100%准确判断。。。何况他只能拿到个HTML页面 |
 | 14 weisoo 2015 年 2 月 9 日 这个我试过,360是只要他提交的变量出现在你的页面中,不管你有没有转义,都说是xss漏洞 |
 | 15 DennyDai 2015 年 2 月 9 日 刚装好的wordpress4.1提示我有无数个xss还可能被注入.。。。。按照这个逻辑。。。卧槽我再也不敢用wp了 |
 | 17 wslsq 2015 年 2 月 10 日 360都给出解决方法了,你包一下变量就行。比如 htmlspecialchars($变量); |
 | 18 jackmasa 2015 年 2 月 10 日 修啊 |
Select Language