件名:ビジネスの人々が突然フィードバック背景データの表示は、正常ではない技術的な理由のために見てそう。
1.トラブルシューティング
私は、問題のトラブルシューティングを行うと、ユーザーが提出されたときに、コンテンツをフィルタリングなしバックエンドのXSSがスクリプトにデータベースで、その結果、存在しないことが判明した場合はページを描画するときに、スクリプトは、前面に返された内容が含まれている、スクリプトタグので、ページが正しく表示されないので、塗装の切れ目が生じ、閉じられていません。
このようなデータベースに格納されています
2.分析
ただ、非常に興味を持ってXSSのために、jsのスクリプトに、を見てみましょう、最終的に悪意のある攻撃を実行する方法です。
ブラウザネットワークを観察し、ローカルWebログインページの内容をテストするためのプロジェクトに加えて数字を準備します
上記の図三例外要求があります
例外要求1
最初の往来要求は、私は地元のhttpがあったため、そのウェブサイトは、そのリソースの要求のhttpsで、301を転送され、それがhttpsに301になります、HTTPSをしなければなりませんでした
不正なリクエスト2
二往来要求は、JSスクリプトを返します
このjsのは非常に簡単で、お互いに「絵」をもたらすパラメータへのリンク、送信後にURLやクッキー、そして変装要求画像を、取得することです。URLとクッキーを使用すると、もう一方の側には、バックグラウンドに、彼らがやりたいことができます
不正な形式のリクエスト3
第三の要求は、我々はお互いにデータを送信することで、非常に直感的
ネットワークから分かるように、要求は、データXSSプラットフォームに送信しました
3.質問の治療と予防
受信したパラメータのすべてのバックエンドについて、あなたはXSSやSQLフィルタリングを行う必要があります。データの保管を修正する必要があります
しかし、私は、データが追加さだと思い、長い時間となっている、それは彼が引き出しを持っている必要があることを理由に立って、そしてあなたがたは、それに関連する情報のセキュリティ問題を聞いたことがありますか?以降でのみ反応しました、我々は背景をしなければならないIPが唯一の引き出しの悪意を避けるために、そのある程度、ホワイトリストに開かれ、限定されたIPです