山西新闻网的跨站漏洞

跨站漏洞其实就是利用JavaScript脚本的一种攻击,原理很简单,看如下代码:

有点做网站的基础的话,都知道这是一个很简单的JavaScript,一般用在网页中的信息提示,然后再转向其它页面的效果,就是这么一段简单的代码,就有着非常惊人的杀伤力。有些人可以用跨站攻击来出售流量,或者“抓鸡”等等危害性很强的攻击。

这种漏洞一般出现在留言中,由于在入库之前没有对客户端提交的数据进行合法性判断,致使漏洞有机可乘,当其他人访问了显示这条留言的页面时,又由于没有对HTML脚本进行过滤,致使直接执行了JavaScript脚本,直接转向了带有病毒或者木马的页面,从而感染病毒。这种攻击对于流量大的网站是非法可怕的。

所以如果有留言之类的客户端不需任何验证即向数据库添加内容的功能,在入库前要对客户端的数据进行严格的判断。我的方法是直接禁用HTML标签,即带有“<>”的全部替换为空,再使用UBB来实现简单的文字效果。当然,我在显示留言的时候又做了一次判断,以保证数据的绝对安全。

山西新闻网跨站漏洞利用

山西新闻网跨站漏洞利用
图为山西新闻网的跨站漏洞利用