PTT數位生活區 / PHP

[請益] 弱點掃描

看板PHP作者 (121)時間17年前 (2009/01/10 13:58), 編輯推噓1(105)
留言6則, 3人參與, 最新討論串1/4 (看更多)
網站有表單接受使用者post資料,例如搜尋關鍵字的文字框。 我有用javascript在使用者submit表單的時候、先過濾使用者輸入的字串, 送出之後的$_POST['var']也有作文字再過濾, 理論上來說,已經可以防止一般透過網頁瀏覽器的使用者對網站作滲透; 不過用一個弱點掃描的軟體,Acunetix Web Vulnerability Scanner 6, 掃過後,它還是出現Cross Site Scripting的警告訊息, 表示還是有var變數還是可被經過簒改成不合法的字串。 我甚在將文字框的屬性maxlength設為10, 但是掃描軟體產生的靜態網頁的原始碼竟然還是可以看到如下這樣的程式碼 <INPUT type=hidden value=>'><ScRiPt >alert(466365088108);</ScRiPt> name=discuss id=discuss maxlength=10> value=後面開始的<script>就是掃描軟體產生的 不知道它是用什麼方法滲透過去的,不用理惠maxlength的限制。 想請問大家如何防止這種狀況? (因為是公家機關的網站,網站會被抽檢弱點掃描的問題,所以委托我幫忙處理) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.30.138.165
01/10 14:03, , 1F
你必須在php檢查資料啦,用javascript的話,他直接送
01/10 14:03, 1F
01/10 14:04, , 2F
post你就破功了。
01/10 14:04, 2F
01/10 14:16, , 3F
你說的用PHP檢查 是送出之後了吧
01/10 14:16, 3F
01/10 14:17, , 4F
我同事叫我判斷送出表單的來源是不是本機
01/10 14:17, 4F
01/10 14:18, , 5F
我現在試這個看看
01/10 14:18, 5F
01/10 18:45, , 6F
做兩層吧? js 先過濾, 然後 php 再過濾
01/10 18:45, 6F
更多 backfish 的文章
文章代碼(AID): #19Q3aLwM (PHP)
討論串 (同標題文章)
以下文章回應了本文
完整討論串 (本文為第 1 之 4 篇):
排序: 最新先 | 最舊先 | 留言數
2
14
Re: [請益] 弱點掃描
dinos
17年前, 01/11
1
6
[請益] 弱點掃描
backfish
17年前, 01/10
在新視窗開啟完整討論串 (共4篇)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 backfish 的文章
文章代碼(AID): #19Q3aLwM (PHP)