【教程,科普】简单说下XSS黑站,请注意防范。
刚才看到吧里有只大彩笔在秀自己的网站:
原帖地址:http://tieba.baidu.com/p/3567694132
对于这样热情高涨的新手,我们一定要予以关(nue)照(dai),于是心血来潮,
科普一下XSS(Cross Site Scripting)黑站。
中文叫跨站脚本攻击。
首先,打开彩笔的目标网站(废话),并注册用户
注意,插楼随便,发完来打扫。
原帖地址:http://tieba.baidu.com/p/3567694132
对于这样热情高涨的新手,我们一定要予以关(nue)照(dai),于是心血来潮,
科普一下XSS(Cross Site Scripting)黑站。
中文叫跨站脚本攻击。
首先,打开彩笔的目标网站(废话),并注册用户
注意,插楼随便,发完来打扫。
找到html标签,我们看到有maxlength属性,这里先干掉再说,因为一会我们要提交js代码
这里就可见,web的前台验证什么的,都是假的,客户端提交的数据,必须要做后台验证。
总结:
真正的坏人,不会上传一段alert那么简单。
正如名字一样,跨站的意思是,大的脚本不会直接上传,一定是再远程。
如果,他上传的是如下的代码,你觉得后果会如何?
防范xss的方法,前面已经提到了,用户提交数据的时候,做后台验证是其一。
其二就是前台展示数据的时候,一定要做代码转义。
这里隆重推荐,我大微软的asp.net MVC + razor真心很强大。
前台后台验证一条龙,显示转意一句话。
真正的坏人,不会上传一段alert那么简单。
正如名字一样,跨站的意思是,大的脚本不会直接上传,一定是再远程。
如果,他上传的是如下的代码,你觉得后果会如何?
防范xss的方法,前面已经提到了,用户提交数据的时候,做后台验证是其一。
其二就是前台展示数据的时候,一定要做代码转义。
这里隆重推荐,我大微软的asp.net MVC + razor真心很强大。
前台后台验证一条龙,显示转意一句话。