問:

,www.bthd2011.cn 網(wǎng)警說存在兩個漏洞 麻煩給處理下

答:您好,已經(jīng)調(diào)整了,請稍后再測試下,非常感謝您長期對我司的支持!

問:麻煩一下  天津這塊的網(wǎng)警說那兩塊問題還是沒解決  麻煩給看下

答:您好,http://www.bthd2011.cn/photo/index.php?key=&page=1"\’></textarea></script><a htef=//eye.webscan.#/>webscan</a> 

我司測試這個地址現(xiàn)在已經(jīng)不能正常訪問,請核實,謝謝 

問:天津的網(wǎng)警說要按這個要求來,麻煩看下

3.1 跨站腳本攻擊漏洞

方案一:

1.過濾用戶輸入的內(nèi)容,檢查用戶輸入的內(nèi)容中是否有非法內(nèi)容。如<>(尖括號)、"(引號)、 '(單引號)、%%uFF08百分比符號)、;(分號)、()(括號)、&(& 符號)、 (加號)等。

2.嚴格控制輸出

可以利用下面這些函數(shù)對出現(xiàn)xss漏洞的參數(shù)進行過濾

1、htmlspecialchars() 函數(shù),用于轉義處理在頁面上顯示的文本。

2、htmlentities() 函數(shù),用于轉義處理在頁面上顯示的文本。

3、strip_tags() 函數(shù),過濾掉輸入、輸出里面的惡意標簽。

4、header() 函數(shù),使用header("Content-type:application/json"); 用于控制 json 數(shù)據(jù)的頭部,不用于瀏覽。

5、urlencode() 函數(shù),用于輸出處理字符型參數(shù)帶入頁面鏈接中。

6、intval() 函數(shù)用于處理數(shù)值型參數(shù)輸出頁面中。

7、自定義函數(shù),在大多情況下,要使用一些常用的 html 標簽,以美化頁面顯示,如留言、小紙條。那么在這樣的情況下,要采用白名單的方法使用合法的標簽顯示,過濾掉非法的字符。

各語言示例:

PHP的htmlentities()或是htmlspecialchars()。

Python的cgi.escape()。

ASP的Server.HTMLEncode()。

ASP.NET的Server.HtmlEncode()或功能更強的Microsoft Anti-Cross Site Scripting Library

Java的xssprotect(Open Source Library)。

Node.js的node-validator。

方案二:使用開源的漏洞修復插件。( 需要站長懂得編程并且能夠修改服務器代碼 )

3.2 頁面異常導致本地路徑泄漏

如果WEB應用程序自帶錯誤處理/管理系統(tǒng),請確保功能開啟;否則按語言、環(huán)境,分別進行處理:

1.如果是PHP應用程序/Apache服務器,可以通過修改php腳本、配置php.ini以及httpd.conf中的配置項來禁止顯示錯誤信息:

修改php.ini中的配置行:display_errors = off

修改httpd.conf/apache2.conf中的配置行:php_flag display_errors off

修改php腳本,增加代碼行:ini_set('display_errors', false);

2.如果是IIS并且是支持aspx的環(huán)境,可以在網(wǎng)站根目錄新建web.config文件(存在該文件則直接修改)。

答:您好,已經(jīng)幫您加了代碼過濾,非常感謝您長期對我司的支持!

問:這是網(wǎng)警發(fā)給我的信息  麻煩您看下

頁面路徑泄露漏洞整改成功,但是跨站腳本攻擊漏洞還是存在

http://www.bthd2011.cn/news/index.php?author=&catid=0&key=&myord=uptime&page=1&showdate=&showtj=&myshownums="'></textarea></script>< a href= >webscan</ a>

您訪問這個鏈接

點擊圖片中我圈出的位置會發(fā)生跳轉的

雖然跳轉的頁面被關了,但是那些違法人員可以植入另外的頁面,進行跳轉

答:您好,已經(jīng)處理,再測試下,非常感謝您長期對我司的支持!

更多關于云服務器域名注冊,虛擬主機的問題,請訪問西部數(shù)碼官網(wǎng):www.ps-sw.cn
贊(0)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉載和分享網(wǎng)絡內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-62778877-8306;郵箱:fanjiao@west.cn。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉載,或轉載時需注明出處:西部數(shù)碼知識庫 » www.bthd2011.cn 網(wǎng)警說存在兩個漏洞 麻煩

登錄

找回密碼

注冊

游戏| 灵台县| 甘泉县| 湄潭县| 溧阳市| 云安县| 樟树市| 上思县| 宣武区| 宜阳县| 罗田县| 饶阳县| 高安市| 安徽省| 奇台县| 新沂市| 新建县| 屯门区| 思南县| 瓮安县| 武隆县| 常德市| 德阳市| 都匀市| 永定县| 布拖县| 京山县| 吉木乃县| 泰兴市| 普兰店市| 库车县| 奎屯市| 定安县| 永平县| 延川县| 墨脱县| 成武县| 克东县| 闸北区| 阳春市| 郑州市|