php下怎样防止XSS攻击
在PHP中修补XSS漏洞,我们可以使用三个PHP函数。
这些函数主要用于清除HTML标志,这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ,它可以将所有的""与""符号转换成"" 与"gt;"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体(entities)替换掉所有想要替换掉的特征码(characters)。
PHP Code:
?
// 这里的代码主要用于展示这两个函数之间输出的不同
$input = 'scriptalert(1);/script';
echo htmlspecialchars($input) . 'br /';
echo htmlentities($input);
?
htmlentities()的另一个例子
PHP Code:
?php
$str = "A 'quote' is bbold/b";
echo htmlentities($str);
echo htmlentities($str, ENT_QUOTES);
?
第一个显示: A 'quote' is bbold/b
第二个显示:A 'quote' is bbold/b
htmlspecialchars()使用实例
PHP Code:
?php
$new = htmlspecialchars("a href='test'Test/a", ENT_QUOTES);
echo $new;
?
显示: a href='test'Test/a
strip_tags()函数代替.删除所有的HTML元素(elements),除了需要特别允许的元素之外,如:i, b 或p.
strip_tags()使用实例
PHP Code:
?php
$text = 'pTest paragraph./p!-- Comment -- Other text';
echo strip_tags($text);
echo "\n";
// allow p
echo strip_tags($text, 'p');
?
现在我们至少已经知道有这些函数了,当我们发现我们的站点存在XSS漏洞时就可以使用这些代码了。我最近在我的站点上的GoogleBig(一个Mybb论坛的插件)视频部分发现了一个XSS漏洞,因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。
首先我发现问题出在search.php这一文件上,现在让我们看看这个查询及输出查询结果中的部分代码研究一下:
PHP Code:
function search($query, $page)
{
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
$option = trim($option);
$query = trim($query);
$query = FixQuotes(nl2br(filter_text($query)));
$db-escape_string($query);
$db-escape_string($option);
alpha_search($query);
...
在这种情况下,我们通过使用$query这一值作为变量,然后使用htmlentities()这一函数:
PHP Code:
$query = FixQuotes(nl2br(filter_text(htmlentities($query))));
如果你对这三种函数还有有疑问可以使用PHP手册来查看:
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags
下面这段代码总是检测到XSS跨站脚本攻击漏洞找高手求解
是否有漏洞,取决于你输出的内容是否可信
比如echo $rows["Author"];
如$rows["Author"]里面是由用户输入且入库未过滤,那么直接输出时存在xss漏洞的。
如$rows["Author"]输入的值为〈script〉 alert( 1 )〈/script 〉
那么直接输出存在漏洞,
简单点修改 echo htmlentities($rows["Author"]),其他echo的类似
如果输出内容可信(过滤过,或来源可信安全)那么直接输出也不存在问题,程序检测的未必准确。
入库过滤了或者本身内容来源可靠不存在此漏洞。
火狐xsseb插件怎么使用?
Quick Translator对谷歌翻译返回未经过滤直接输出,导致XSS
不知道什么原因,直接翻译script标签是不行的,所以需要借助img等其他标签。Quick Translator默认设置为检测语言,而谷歌翻将英文翻译成中文时会将引号转换为全角,并在其他符号后面加空格,所以需要加上一些中文字符让谷歌翻译认为提交的是中文。
说了这么多,看个例子吧,以下代码用Quick Translator翻译从中文翻译到英文会弹框(右键翻译和在对话框输入是一样的)。
img src='#' alt='中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文' onerror='javascript:alert(document.domain)'/
由于没有人会憨厚到选中代码翻译,所以需要将这段代码隐藏起来,同时不影响选中。仿照论坛复制干扰码,将其进行html转义后放在一个指定文字大小为0px的span中;同时,由于实际触发点位于右下角翻译结果处,为了隐藏图片需要给图片加上display:none样式;最后,将这段代码插在一段很少有人认识的语言中,例如الاشتراكية جيدة ,使得别人可能会去翻译这句话。
最后的poc如下:
الاشتراكية جيدة span style="font-size:0px;"img src='#' alt='中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文' style='display:none' onerror='javascript:alert(document.domain)'/span الاشتراكية جيدة br
可以在某些公共博客、论坛之类发个吸引人的帖子,然后引用一段官方的“原话”作为证据(选个较为少见的语种,比如德语意大利语之类),并在其中插入代码。
例子:躺中枪的某程序猿博客
要是以“nodejs进阶技巧”等热点技术发个帖,并在资料引用处插入poc,会有多少人中招?
修复方案:
prexmpxxx/xmp/pre
照样子,对对子!大家帮一下忙!!例:春花对(秋月) 清风对() 黄连苦对()甜 红梅对() 高山对()
柳岸对(山)村 翠柳对(黄鹂) 大路对(小径) 山果落对(江鱼跃)春花对(秋月) 清风对(明月) 黄连苦对(红杏)甜 红梅对(白雪) 高山对(流水)
网站xss高危处理?
这不是。。discuz站点?
如果这的确是discuz的系统的话,去discuz官网下载最新版即可,discuz的更新效率还是比较高的,漏洞也比较少
如果是自己写的话,不妨对传入变量做一下过滤处理
用str_replace对、、'、"这几个符号进行转译,xss一般就不会生效了
如何xss攻击输入经过html编码的网站
div id="main" h1HTML Injection - Reflected (POST)/h1 pEnter your first and last name:/p form action="/bWAPP/htmli_post.php" method="POST" plabel for="firstname"First name:/labelbr / input type="text" id="firstname" name="firstname"/p plabel for="lastname"Last name:/labelbr / input type="text" id="lastname" name="lastname"/p button type="submit" name="form" value="submit"Go/button /form br / Welcome 1234scriptalert(123)/script 123456/div