XSS攻撃のテストコード
主な攻撃は、入力ボックスに入力することによって、そのサーバーにログインクッキーサーバ内の情報を得ることで、
原理は、キーワードの前に攻撃することによって入力された値であり、それらの値は、それによってサーバクッキー情報を取得トリガ、キーと値のペアの検索を介してデータベースバックエンドサーバに格納されています。
したがって、フロントとリアの両端には、<SCRIPT>、HTMLタグ、または他の特殊文字コードとして特殊なタグを入力するのではなく、特殊文字を処理します
ユーザーのCookieを取得します。1.
<スクリプト>警告(document.cookie)</スクリプト>
οnclick=警告(document.cookie)
2.ページレイアウトを混乱させる
<IFRAME SRC = "http://baidu.com"> </ iframe>の
<スクリプト>警告( "こんにちは")</ SCRIPT>
3.入力ボックス内のスクリプトページはリンク/ jsのスクリプト入力に入力パラメータ
XSSのバグ修正
原則:お客様が入力したデータを信じていません。
注:攻撃コードは、<SCRIPT> </ SCRIPT>内には限りません
重要なクッキーは、HTTPのみとマークされているので、Javascriptのdocument.cookie文で、あなたはクッキーを取得することはできません。
入力処理への利用者のニーズは、我々は唯一の他の値、ユーザーがデータを入力することができないと、フィルタリングされます期待しています。例:テキストボックスの年齢、唯一のユーザーが番号を入力することができます。数字以外の文字は除外されます。
HTMLエンコードデータ処理
HTML濾過または特定の標識の除去、例えば:<SCRIPT>、<iframe>の、&LT;のための<、&GT;のため>、&QUOT用
タブのJavaScriptのイベントをフィルタリングします。例えば "οnclick="、など "ONFOCUS"。