智睿软件_技术交流论坛智睿系统交流智睿系统交流 → [注意]关于系统防XSS注入的安全修正通知


  共有43983人关注过本帖树形打印

主题:[注意]关于系统防XSS注入的安全修正通知

帅哥哟,离线,有人找我吗?
zhirui
  1楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:管理员 帖子:520 积分:8740 威望:0 精华:5 注册:2009-07-07
[注意]关于系统防XSS注入的安全修正通知  发帖心情 Post By:2011-01-16 11:09:15

什么是XSS攻击
  XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术,但是其思路希望对大家有帮助。
编辑本段如何寻找XSS漏洞
  就个人而言,我把XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺**目标服务器的管理员打开。

首先感谢B0mbErM@n友的热心提示指出,此XSS在国内易少让大家注意和引起重示,以下为怎要来处理系统的安全与防范:

使用本智睿软件系统的用户
1、登陆后台后点击系统首页

2、点击安全注入功能

3、再点击系统设置功能

4、需要过滤的关键字:

'|;|and|(|)|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare|script|js

替换过滤即可

以上是手动修改方法,即日后新版会自动修复此功能!谢谢大家对智睿的支持。

[此贴子已经被作者于2011-01-16 11:13:10编辑过]

企业开源网站管理系统,中小型企业的成长伙伴 支持(0中立(0反对(0回到顶部