首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 网站开发 > Web前端 >

纠正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞

2012-12-28 
改正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞  XSS又叫CSS(Cross Site Script) ,跨站脚本攻击。

改正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞

  XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

  没想到我的博客评论系统中存在XSS漏洞,现在已经修正。

  有位聪明的网友发现在发表评论“名称”中填写脚本可以被执行,比如他填写了 <script>alert(1);</script> 和 <script>while(1);</script>。这个代码直接导致浏览器报告网页脚本繁忙的警告信息。这位网友来自:119.145.0.157

  www.vktone.com博客系统使用了FreeMarker作为静态化引擎,在输出名称时没有添加?html对<>进行转义,因此造成了这个问题。解决办法:将${comment.name}改为 ${comment.name?html}。因为正文部分前面已经进行了转义,${comment.content?html} 所以不能被利用。

  最后来看一下这位童鞋都进行了哪些尝试:

纠正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞

  这位童鞋还在服务器上进行了其他不光彩的行为,试图连接该服务器上的CVS服务。这不是你应当干的,童鞋!

纠正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞

?

本文来自:http://www.vktone.com/articles/xss-error-in-vktone-blog.html

?

?

热点排行