2. 程式人生 > >ThinkPHP防範XSS跨站攻擊

ThinkPHP防範XSS跨站攻擊

阿新 發佈:2019-01-04

原理是通過URL傳入script標籤,ThinkPHP異常錯誤頁面直接輸出了script。

原理:


httpx://www.example.com/index.php?m=">< script>alert('xss');< /script>&a=index
其中m的值是一個不存在的module,同時是一個完全的script,在異常錯誤頁面中被執行實現XSS跨站攻擊。

防範方法:
找到異常錯誤頁面模板ThinkException.tpl.php(2,x),think_exception.tpl(3.x)有兩個地方要修改:
第57行 echo($_SERVER['PHP_SELF'])
改為 echo strip_tags($_SERVER['PHP_SELF'])
第62行 echo $e['message']
改為 echo strip_tags($e['message'])
另外,馬上要釋出的3.0官方已經對TP變數GROUP_NAME,MODULE_NAME,ACTION_NAME,__URL__,__SELF__,__APP__,$_SERVER['PHP_SELF']做了安全處理。

PS:安全不是框架的責任,大家在開發的時候須自己注意。
原文地址:http://www.hdj.me/thinkphp-deny-xss

相關推薦

ThinkPHP防範XSS攻擊

原理是通過URL傳入script標籤,ThinkPHP異常錯誤頁面直接輸出了script。原理: httpx://www.example.com/index.php?m=">< script>alert('xss');< /script&g

WordPress4.8.1版本存在XSS攻擊漏洞

2017年10月19日,阿里雲安全威脅情報系統監測到WordPress 官方釋出了一條安全通告表示在4.8.1版本中發現了一個儲存型的XSS漏洞,通過該漏洞,攻擊者可以在受影響網站的評論區寫下包含惡意程式碼的留言,當該留言頁面被開啟時,其中的惡意程式碼會執行,導致該網站的許可權,外掛等被更改,甚至被完

防止SQL注入和XSS攻擊程式碼

這兩天用360網站安全檢測網站,檢測出SQL注入漏洞和XSS跨站攻擊指令碼N多項bug,然後上網找各種資料,把大部分的資料都看了一遍,最後自己總結了如下程式碼: a、防止SQL注入程式碼: //防止S

JAVA覆寫Request過濾XSS腳本攻擊

getpara header term implement nbsp super exceptio stream elements 註:本文非本人原著。 demo的地址:鏈接:http://pan.baidu.com/s/1miEmHMo 密碼:k5ca 如何過濾

WAF——針對Web應用發起的攻擊,包括但不限於以下攻擊類型:SQL註入、XSS、Webshell上傳、命令註入、非法HTTP協議請求、非授權文件訪問等

授權 文件訪問 http協議 火墻 針對 str sql 包括 fire 核心概念 WAF Web應用防火墻(Web Application Firewall),簡稱WAF。 Web攻擊 針對Web應用發起的攻擊,包括但不限於以下攻擊類型:SQL註入、XSS跨站、Websh

XSS腳本攻擊

截取 inner 掛載點 site 斜線 谷歌 system coo 地址 閱讀目錄 1、簡介 2、原因解析 3、XSS攻擊分類   3.1、反射型xss攻擊   3.2、存貯型xss攻擊   3.3、DOMBasedXSS(基於dom的跨站點腳本攻擊) 4、XSS攻擊

Fortify漏洞之Cross-Site Scripting(XSS 腳本攻擊

puts 私人 解決方案 sta 行為 sel getpara image 字母   書接上文,繼續對Fortify漏洞進行總結,本篇主要針對XSS跨站腳步攻擊漏洞進行總結如下: 1、Cross-Site Scripting(XSS 跨站腳本攻擊) 1.1、產生原因: 1.

XSS 與 CSRF 兩種攻擊

鏈接 href 本機 但是 不可見 不知道 pre col CI 在前幾年,大家一般用拼接字符串的方式來構造動態 SQL 語句創建應用,於是 SQL 註入成了很流行的攻擊方式, 但是現在參數化查詢 已經成了普遍用法,我們已經離 SQL 註入很遠了。但是歷史同樣

XSS指令碼攻擊以及解決辦法

來源:https://www.cnblogs.com/insaneXs/p/7465014.html XSS,全稱為Cross Site Script,跨站指令碼攻擊,是WEB程式中一種常見的漏洞。其主要的攻擊手段是在在利用網站上的可由使用者輸入資訊的地方,惡意注入含有攻擊性的指令碼,達到攻擊網

XSS指令碼攻擊----XSS攻擊的三種類型

一、簡介 什麼是XSS? 百度百科的解釋: XSS又叫CSS  (Cross Site Script) ,跨站指令碼攻擊。它指的是惡意攻擊者往Web頁面裡插入惡意html程式碼,當用戶瀏覽該頁之時,嵌入其中Web裡面的html程式碼會被執行,從而達到惡意使用者的特殊目的。

XSS指令碼攻擊

閱讀目錄 1、簡介 2、原因解析 3、XSS攻擊分類   3.1、反射型xss攻擊   3.2、存貯型xss攻擊   3.3、DOMBasedXSS(基於dom的跨站點指令碼攻擊) 4、XSS攻擊例項分析   例1、簡單XSS攻擊   例2、盜取cookie 5

PHP漏洞全解(四)-xss指令碼攻擊【轉】

轉自:https://www.cnblogs.com/pingliangren/p/5586977.html XSS(Cross Site Scripting),意為跨網站指令碼攻擊,為了和樣式表css(Cascading Style  Sheet)區別,縮寫為XSS 跨站指令碼主

同步令牌模式防範CSRF請求偽造攻擊

什麼是“跨渣請求偽造”呢?這是資訊保安領域的一個名詞,譯自英文“Cross Site Request Forgery”。 百度百科上介紹的很簡單卻很明瞭,大家可以看一下,我這裡配合一些程式碼稍微多說一點。 假設我們要在銀行網站上給老媽轉100塊錢,畢竟畢業這麼多年了

JAVA WEB中處理防SQL注入|防XSS指令碼攻擊(咋個辦呢 zgbn)

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

【安全測試】Web應用安全之XSS指令碼攻擊漏洞相關

閱讀目錄 歡迎轉載,也請註明出處 :http://www.cnblogs.com/Detector/p/8811216.html 謝謝!前言 以前都只是在各類文件中見到過XSS,也進行過相關的學習,但是都是一知半解,過了一段時間就忘了。 前幾天我們收到了了一份標題為《XX賬號暱稱引數中存在儲存XSS漏洞

asp.net 360通用防護程式碼,防止sql注入與xss漏洞攻擊

這是360提供的一個aspx公用程式碼,可以防止sql注入漏洞,xss跨站攻擊漏洞,如果您的網站被360掃描,出現sql注入或跨站攻擊等相關漏洞,沒有較好的解決方案,倒是可以採用該方法進下防範。 -----------------使用方法------------

XSS 指令碼攻擊 學習筆記 (一) 概念與簡單XSS構造

XSS是個啥? ### XSS 跨站指令碼攻擊。通過HTML注入篡改網頁,插入惡意指令碼。 啥是XSS? 首先我們寫了一個PHP <?php $input = $_GET["id"]; echo "<div>".$input."&l

XSS 指令碼攻擊

跨站指令碼攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。惡意攻擊者往Web頁面裡插入惡意Script程式碼,當用戶瀏覽該頁之時,嵌入

【安全測試】Web應用安全之XSS指令碼攻擊漏洞

前言 以前都只是在各類文件中見到過XSS,也進行過相關的學習,但是都是一知半解,過了一段時間就忘了。 前幾天我們收到了了一份標題為《XX賬號暱稱引數中存在儲存XSS漏洞》的報告文件,來源是一個叫漏洞盒子的機構,看它的官方介紹,是一個網際網路安全測試眾測平臺。 第一次在實際工作中遇到相關的問題,所以決定再系統的

XSS指令碼攻擊(一)----XSS攻擊的三種類型

一、簡介 什麼是XSS? 百度百科的解釋: XSS又叫CSS  (Cross Site Script) ,跨站指令碼攻擊。它指的是惡意攻擊者往Web頁面裡插入惡意html程式碼,當用戶瀏覽該頁之時