V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
rainday
V2EX  ›  程序员

360 扫描说网站有 xss 漏洞,怎么办

  •  
  •   rainday · 2015-02-09 11:17:16 +08:00 · 5768 次点击
    这是一个创建于 3573 天前的主题,其中的信息可能已经有所发展或是发生改变。

    但是根据它的提示试了下没什么问题啊,也没有alert的弹窗。 好害怕。
    求高手私下指导,小弟QQ是 77963306

    以下是细节:
    漏洞上线时间:
    2011-07-02
    漏洞名称:

    跨站脚本攻击漏洞
    漏洞类型:

    跨站脚本攻击(XSS)
    所属服务器类型:

    通用
    漏洞风险:

    1. 存在 "网站用户资料泄露" 风险
    2. 安全性降低40%
    3. 全国 32% 网站有此漏洞, 677个站长进行了讨论
    检测时间:

    2015-02-08 03:18:42
    漏洞证据:

    <script>alert(42873)</script>
    漏洞地址:

    http://马赛克/20
    解决方案:

    方案一:避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多语言都有提供对HTML的过滤:
    可以利用下面这些函数对出现xss漏洞的参数进行过滤
    PHP的htmlentities()或是htmlspecialchars()。
    Python的cgi.escape()。
    ASP的Server.HTMLEncode()。
    ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
    Java的xssprotect(Open Source Library)。
    Node.js的node-validator。
    方案二:使用开源的漏洞修复插件。( 需要站长懂得编程并且能够修改服务器代码 )
    具体可以参考: http://webscan.360.cn/group/topic/tid/4571

    19 条回复    2015-02-10 14:42:11 +08:00
    Oi0Ydz26h9NkGCIz
        1
    Oi0Ydz26h9NkGCIz  
       2015-02-09 11:26:04 +08:00
    我有个2014年建的站被360说是存在安全隐患,上次安全隐患发现时间是2012年,我这域名才是2014年注册的,且之前无此域名。
    ytf4425
        2
    ytf4425  
       2015-02-09 11:29:51 +08:00
    @aruisi 谁知道你之前无此域名呢。。
    rainday
        3
    rainday  
    OP
       2015-02-09 11:29:53 +08:00
    @aruisi 360不靠谱是么。。还有其他安全漏洞扫描的网站吗? 帮忙推荐一个我们试试
    invite
        4
    invite  
       2015-02-09 11:42:07 +08:00
    很明显,360不靠谱,哈哈。
    typcn
        5
    typcn  
       2015-02-09 11:44:13 +08:00   ❤️ 2
    360 说有漏洞那就卸载 360 呗 很简单
    Oi0Ydz26h9NkGCIz
        6
    Oi0Ydz26h9NkGCIz  
       2015-02-09 11:54:24 +08:00
    @ytf4425 这是个2014年才放出来的新域,2013年不可能存在。
    MeirLin
        7
    MeirLin  
       2015-02-09 12:24:30 +08:00
    应该是反射吧.. 危害小 强迫症的话就看看是哪个参数,然后针对过滤转义就行了
    网站漏洞扫描的,AppScan
    whisperer
        8
    whisperer  
       2015-02-09 12:24:32 +08:00
    重新扫描即可
    ytf4425
        9
    ytf4425  
       2015-02-09 12:51:42 +08:00
    @aruisi 吼吼看来三百六无常识
    pubby
        10
    pubby  
       2015-02-09 12:57:23 +08:00 via Android
    有时候是有误判的,比如用户输入的东西放在js变量中,某些检测就认为你有xss漏洞
    RIcter
        11
    RIcter  
       2015-02-09 13:09:07 +08:00 via iPhone   ❤️ 2
    ls 们别啥都不知道就无脑黑好么。

    可能是 Chrome 的 filter 给过滤了,试试 Firefox 打开。
    tonghuashuai
        12
    tonghuashuai  
       2015-02-09 13:33:12 +08:00
    360 认为,他不认识的就是病毒,他没见过的就是漏洞
    eastphoton
        13
    eastphoton  
       2015-02-09 13:54:59 +08:00
    360就算知道网站源码也不能100%准确判断。。。何况他只能拿到个HTML页面
    weisoo
        14
    weisoo  
       2015-02-09 13:58:43 +08:00
    这个我试过,360是只要他提交的变量出现在你的页面中,不管你有没有转义,都说是xss漏洞
    DennyDai
        15
    DennyDai  
       2015-02-09 14:00:09 +08:00
    刚装好的wordpress4.1提示我有无数个xss还可能被注入.。。。。按照这个逻辑。。。卧槽我再也不敢用wp了
    rainday
        16
    rainday  
    OP
       2015-02-09 14:16:48 +08:00
    @weisoo 嗯,就是变量出现在网页里。
    wslsq
        17
    wslsq  
       2015-02-10 11:05:05 +08:00
    360都给出解决方法了,你包一下变量就行。比如
    htmlspecialchars($变量);
    jackmasa
        18
    jackmasa  
       2015-02-10 11:16:09 +08:00
    修啊
    rainday
        19
    rainday  
    OP
       2015-02-10 14:42:11 +08:00
    @wslsq 嗯,修了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1011 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:23 · PVG 06:23 · LAX 14:23 · JFK 17:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.