改正了www.vktone.com部落格系統中存在的跨站指令碼攻擊漏洞
阿新 • • 發佈:2019-02-20
XSS又叫CSS (Cross Site Script) ,跨站指令碼攻擊。它指的是惡意攻擊者往Web頁面裡插入惡意html程式碼,當用戶瀏覽該頁之時,嵌入其中Web裡面的html程式碼會被執行,從而達到惡意使用者的特殊目的。
沒想到我的部落格評論系統中存在XSS漏洞,現在已經修正。
有位聰明的網友發現在發表評論“名稱”中填寫指令碼可以被執行,比如他填寫了 <script>alert(1);</script> 和 <script>while(1);</script>。這個程式碼直接導致瀏覽器報告網頁尾本繁忙的警告資訊。這位網友來 自:119.145.0.157 來自 廣東省深圳市 電信 ,使用的瀏覽器:Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11。
www.vktone.com部落格系統使用了FreeMarker作為靜態化引擎,在輸出名稱時沒有新增?html對<>進行轉義,因此造 成了這個問題。解決辦法:將${comment.name}改為 ${comment.name?html}。因為正文部分前面已經進行了轉義,${comment.content?html} 所以不能被利用。
最後來看一下這位童鞋都進行了哪些嘗試:
這位童鞋還在伺服器上進行了其他不光彩的行為,試圖連線該伺服器上的CVS服務。這不是你應當乾的,童鞋!