Re: [請益] 弱點掃描
※ 引述《backfish (121)》之銘言:
: 網站有表單接受使用者post資料,例如搜尋關鍵字的文字框。
: 我有用javascript在使用者submit表單的時候、先過濾使用者輸入的字串,
: 送出之後的$_POST['var']也有作文字再過濾,
: 理論上來說,已經可以防止一般透過網頁瀏覽器的使用者對網站作滲透;
: 不過用一個弱點掃描的軟體,Acunetix Web Vulnerability Scanner 6,
: 掃過後,它還是出現Cross Site Scripting的警告訊息,
: 表示還是有var變數還是可被經過簒改成不合法的字串。
: 我甚在將文字框的屬性maxlength設為10,
: 但是掃描軟體產生的靜態網頁的原始碼竟然還是可以看到如下這樣的程式碼
: <INPUT type=hidden value=>'><ScRiPt
: >alert(466365088108);</ScRiPt> name=discuss id=discuss maxlength=10>
: value=後面開始的<script>就是掃描軟體產生的
: 不知道它是用什麼方法滲透過去的,不用理惠maxlength的限制。
: 想請問大家如何防止這種狀況?
: (因為是公家機關的網站,網站會被抽檢弱點掃描的問題,所以委托我幫忙處理)
最好方式,前端 js 驗證,認證碼
後端判斷 http_referer 也要判斷 $_POST 資料
雖然 http_referer 可以偽造,但是認證碼可以確保安全
大致上是這樣,重點都是後端啦,前端那些 js 是方便使用者而已
--
Appleboy Blog: http://blog.Wu-Boy.com
Appleboy Life: http://life.wu-boy.com
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.123.107.20
推
01/10 14:27, , 1F
01/10 14:27, 1F
討論串 (同標題文章)
PHP 近期熱門文章
PTT數位生活區 即時熱門文章
0
18