問(wèn)：

,www.bthd2011.cn 網(wǎng)警說(shuō)存在兩個(gè)漏洞 麻煩給處理下

答：您好，已經(jīng)調(diào)整了，請(qǐng)稍后再測(cè)試下，非常感謝您長(zhǎng)期對(duì)我司的支持！

問(wèn)：麻煩一下  天津這塊的網(wǎng)警說(shuō)那兩塊問(wèn)題還是沒(méi)解決  麻煩給看下

答：您好，http://www.bthd2011.cn/photo/index.php?key=&page=1"\’></textarea></script><a htef=//eye.webscan.360.cn/>webscan</a> 

我司測(cè)試這個(gè)地址現(xiàn)在已經(jīng)不能正常訪(fǎng)問(wèn)，請(qǐng)核實(shí)，謝謝 

問(wèn)：天津的網(wǎng)警說(shuō)要按這個(gè)要求來(lái)，麻煩看下

3.1 跨站腳本攻擊漏洞

方案一：

1.過(guò)濾用戶(hù)輸入的內(nèi)容，檢查用戶(hù)輸入的內(nèi)容中是否有非法內(nèi)容。如<>（尖括號(hào)）、"（引號(hào)）、 '（單引號(hào)）、%%uFF08百分比符號(hào)）、;（分號(hào)）、()（括號(hào)）、&（& 符號(hào)）、 （加號(hào)）等。

2.嚴(yán)格控制輸出

可以利用下面這些函數(shù)對(duì)出現(xiàn)xss漏洞的參數(shù)進(jìn)行過(guò)濾

1、htmlspecialchars() 函數(shù),用于轉(zhuǎn)義處理在頁(yè)面上顯示的文本。

2、htmlentities() 函數(shù),用于轉(zhuǎn)義處理在頁(yè)面上顯示的文本。

3、strip_tags() 函數(shù),過(guò)濾掉輸入、輸出里面的惡意標(biāo)簽。

4、header() 函數(shù),使用header("Content-type:application/json"); 用于控制 json 數(shù)據(jù)的頭部，不用于瀏覽。

5、urlencode() 函數(shù),用于輸出處理字符型參數(shù)帶入頁(yè)面鏈接中。

6、intval() 函數(shù)用于處理數(shù)值型參數(shù)輸出頁(yè)面中。

7、自定義函數(shù),在大多情況下，要使用一些常用的 html 標(biāo)簽，以美化頁(yè)面顯示，如留言、小紙條。那么在這樣的情況下，要采用白名單的方法使用合法的標(biāo)簽顯示，過(guò)濾掉非法的字符。

各語(yǔ)言示例：

PHP的htmlentities()或是htmlspecialchars()。

Python的cgi.escape()。

ASP的Server.HTMLEncode()。

ASP.NET的Server.HtmlEncode()或功能更強(qiáng)的Microsoft Anti-Cross Site Scripting Library

Java的xssprotect(Open Source Library)。

Node.js的node-validator。

方案二：使用開(kāi)源的漏洞修復(fù)插件。（ 需要站長(zhǎng)懂得編程并且能夠修改服務(wù)器代碼 ）

3.2 頁(yè)面異常導(dǎo)致本地路徑泄漏

如果WEB應(yīng)用程序自帶錯(cuò)誤處理/管理系統(tǒng)，請(qǐng)確保功能開(kāi)啟；否則按語(yǔ)言、環(huán)境，分別進(jìn)行處理：

1.如果是PHP應(yīng)用程序/Apache服務(wù)器，可以通過(guò)修改php腳本、配置php.ini以及httpd.conf中的配置項(xiàng)來(lái)禁止顯示錯(cuò)誤信息：

修改php.ini中的配置行:display_errors = off

修改httpd.conf/apache2.conf中的配置行:php_flag display_errors off

修改php腳本，增加代碼行:ini_set('display_errors', false);

2.如果是IIS并且是支持aspx的環(huán)境,可以在網(wǎng)站根目錄新建web.config文件(存在該文件則直接修改)。

答：您好，已經(jīng)幫您加了代碼過(guò)濾,非常感謝您長(zhǎng)期對(duì)我司的支持!

問(wèn)：這是網(wǎng)警發(fā)給我的信息  麻煩您看下

頁(yè)面路徑泄露漏洞整改成功，但是跨站腳本攻擊漏洞還是存在

http://www.bthd2011.cn/news/index.php?author=&catid=0&key=&myord=uptime&page=1&showdate=&showtj=&myshownums="'></textarea></script>< a href= >webscan</ a>

您訪(fǎng)問(wèn)這個(gè)鏈接

點(diǎn)擊圖片中我圈出的位置會(huì)發(fā)生跳轉(zhuǎn)的

雖然跳轉(zhuǎn)的頁(yè)面被關(guān)了，但是那些違法人員可以植入另外的頁(yè)面，進(jìn)行跳轉(zhuǎn)

答：您好，已經(jīng)處理,再測(cè)試下,非常感謝您長(zhǎng)期對(duì)我司的支持!





猜你還會(huì)喜歡下面的內(nèi)容

• nginx服務(wù)器的301跳轉(zhuǎn)
• 小程序提交審核報(bào)錯(cuò)。-其他問(wèn)題
• http:www.ygzwcg.com 網(wǎng)站掛馬了給恢復(fù)一下
• 阿里云服務(wù)器被ddos-其他問(wèn)題
• 為什么說(shuō)我域名指向的不是你們公司的IP地址
• 網(wǎng)站還是無(wú)法正常訪(fǎng)問(wèn)topvisiontech.com
• zhenzhuyan555.com服務(wù)器物理地址是什么？
• 這是啥問(wèn)題？客戶(hù)發(fā)過(guò)來(lái)的
• 為什么以前可以處理的問(wèn)題，現(xiàn)在死活不能解決？需要收費(fèi)第一個(gè)工
• https自動(dòng)跳轉(zhuǎn)如何解除
• 購(gòu)買(mǎi)的SSL證書(shū)在國(guó)外失效
• 親麻煩幫我解壓一下-其他問(wèn)題
• 網(wǎng)站換IP出問(wèn)題要備案-其他問(wèn)題
• 經(jīng)常收不到客戶(hù)發(fā)來(lái)的郵件
• 備案平臺(tái)用戶(hù)名密碼遺忘，無(wú)法在線(xiàn)找回，請(qǐng)核實(shí)并找回備案平臺(tái)登
• 如何修改手機(jī)號(hào)碼-其他問(wèn)題

熱門(mén)標(biāo)簽

其他問(wèn)題云服務(wù)器問(wèn)題域名及賬戶(hù)問(wèn)題企業(yè)郵局市場(chǎng)咨詢(xún)云服務(wù)器云建站/云站群/小程序虛擬主機(jī)企業(yè)郵箱網(wǎng)絡(luò)知識(shí)域名注冊(cè)域名備案域名商標(biāo)注冊(cè)云主機(jī)更多標(biāo)簽...