来源:自学PHP网 时间:2015-04-17 11:59 作者: 阅读:次
[导读] 一上来发现my.9158.com(账户应用服务器)出现个XSShttp://my.9158.com/login_pass.aspx?go=%22%20onmouseover%3dprompt%28947212%29%20bad%3d%22反射式的有且只有这一处(任意位置动动鼠标就出现啦)反射式的只...
|
一上来发现my.9158.com(账户应用服务器)出现个XSS
http://my.9158.com/login_pass.aspx?go=%22%20onmouseover%3dprompt%28947212%29%20bad%3d%22
反射式的有且只有这一处(任意位置动动鼠标就出现啦)
 反射式的只有这一处,别的地方没有!?配置失误了吧
 在设置个人主页标题时没有过滤,但这可真是新鲜事,因为我刚测试了个人信息所有输入的地方都做了转义(能不能突破先不谈,有过滤说明有配置)为什么单单个人主页标题没过滤,配置失误了吧
http://home.9158.com/index.aspx?UserId=lxj616
进主页就直接弹了
   修复方案:
1.把这两处补上
2.整个的安全配置最好能整体化,单个单个配置容易出现问题,而且长期看也并不简便
3.你们的“一流的安全防御软件”好像只过滤GET请求提交的参数!我测试post时并没有拦截,你们仔细看看确认一下,不当新漏洞发了
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
