改正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
没想到我的博客评论系统中存在XSS漏洞,现在已经修正。
有位聪明的网友发现在发表评论“名称”中填写脚本可以被执行,比如他填写了 <script>alert(1);</script> 和 <script>while(1);</script>。这个代码直接导致浏览器报告网页脚本繁忙的警告信息。这位网友来自:119.145.0.157
www.vktone.com博客系统使用了FreeMarker作为静态化引擎,在输出名称时没有添加?html对<>进行转义,因此造成了这个问题。解决办法:将${comment.name}改为 ${comment.name?html}。因为正文部分前面已经进行了转义,${comment.content?html} 所以不能被利用。
最后来看一下这位童鞋都进行了哪些尝试:
这位童鞋还在服务器上进行了其他不光彩的行为,试图连接该服务器上的CVS服务。这不是你应当干的,童鞋!
?
本文来自:http://www.vktone.com/articles/xss-error-in-vktone-blog.html
?
?