但是根据它的提示试了下没什么问题啊,也没有alert的弹窗。 好害怕。
求高手私下指导,小弟QQ是 77963306
以下是细节:
漏洞上线时间:
2011-07-02
漏洞名称:
跨站脚本攻击漏洞
漏洞类型:
跨站脚本攻击(XSS)
所属服务器类型:
通用
漏洞风险:
1. 存在 "网站用户资料泄露" 风险
2. 安全性降低40%
3. 全国 32% 网站有此漏洞, 677个站长进行了讨论
检测时间:
2015-02-08 03:18:42
漏洞证据:
<script>alert(42873)</script>
漏洞地址:
http://马赛克/20
解决方案:
方案一:避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多语言都有提供对HTML的过滤:
可以利用下面这些函数对出现xss漏洞的参数进行过滤
PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。
方案二:使用开源的漏洞修复插件。( 需要站长懂得编程并且能够修改服务器代码 )
具体可以参考: http://webscan.360.cn/group/topic/tid/4571
1
Oi0Ydz26h9NkGCIz 2015-02-09 11:26:04 +08:00
我有个2014年建的站被360说是存在安全隐患,上次安全隐患发现时间是2012年,我这域名才是2014年注册的,且之前无此域名。
|
4
invite 2015-02-09 11:42:07 +08:00
很明显,360不靠谱,哈哈。
|
5
typcn 2015-02-09 11:44:13 +08:00 2
360 说有漏洞那就卸载 360 呗 很简单
|
6
Oi0Ydz26h9NkGCIz 2015-02-09 11:54:24 +08:00
@ytf4425 这是个2014年才放出来的新域,2013年不可能存在。
|
7
MeirLin 2015-02-09 12:24:30 +08:00
应该是反射吧.. 危害小 强迫症的话就看看是哪个参数,然后针对过滤转义就行了
网站漏洞扫描的,AppScan |
8
whisperer 2015-02-09 12:24:32 +08:00
重新扫描即可
|
10
pubby 2015-02-09 12:57:23 +08:00 via Android
有时候是有误判的,比如用户输入的东西放在js变量中,某些检测就认为你有xss漏洞
|
11
RIcter 2015-02-09 13:09:07 +08:00 via iPhone 2
ls 们别啥都不知道就无脑黑好么。
可能是 Chrome 的 filter 给过滤了,试试 Firefox 打开。 |
12
tonghuashuai 2015-02-09 13:33:12 +08:00
360 认为,他不认识的就是病毒,他没见过的就是漏洞
|
13
eastphoton 2015-02-09 13:54:59 +08:00
360就算知道网站源码也不能100%准确判断。。。何况他只能拿到个HTML页面
|
14
weisoo 2015-02-09 13:58:43 +08:00
这个我试过,360是只要他提交的变量出现在你的页面中,不管你有没有转义,都说是xss漏洞
|
15
DennyDai 2015-02-09 14:00:09 +08:00
刚装好的wordpress4.1提示我有无数个xss还可能被注入.。。。。按照这个逻辑。。。卧槽我再也不敢用wp了
|
17
wslsq 2015-02-10 11:05:05 +08:00
360都给出解决方法了,你包一下变量就行。比如
htmlspecialchars($变量); |
18
jackmasa 2015-02-10 11:16:09 +08:00
修啊
|