这是一个创建于 367 天前的主题,其中的信息可能已经有所发展或是发生改变。
“跨站脚本攻击”...幸好网站是自己写的,很快修复了。如果是第三方 PHP 系统搭建那就够呛。
 |
1
HelloWorld556 2023-10-25 08:42:56 +08:00
咋解决的,如果用 PHP 搭建会不会就没这个漏洞了
|
 |
2
idragonet OP  1
@HelloWorld556 #1 .NET Core 写的,过滤用户输入特殊字符串即可。
|
 |
3
musi 2023-10-25 08:49:58 +08:00 1
@HelloWorld556 这跟语言有啥关系
|
|
4
idragonet OP 反正之前用第三方 PHP 系统搭建的网站经常给篡改网页,都怕了。
|
 |
5
N9f8Pmek6m8iRWYe 2023-10-25 08:52:57 +08:00
搭个前置 WAF ,常见攻击就免疫了
|
 |
6
Conantv2 2023-10-25 08:56:54 +08:00 3
遇到过,不过我那个整改通知很白痴,不过也改了,算是帮他们冲下业绩。
第三方 PHP 建站系统防御其实也很简单的,Nginx 配置两个站点,一个源站做管理站,一个公开站。公开站在 Nginx 反代源站,只接受 GET 请求,并且过滤 URL 参数,神仙来黑不了。源站另一个子域名,配置开源系统以外的访问限制,比如要求特定 UA ,然后给客户浏览器装修改 UA 扩展,配置好 UA 字符串。 |
|
7
HelloWorld556 2023-10-25 08:57:06 +08:00
@musi 我不会 PHP ,他说的用 PHP 搭建,我理解是有什么脚手架生成,可能会避免这个问题
|
 |
9
thinkm 2023-10-25 08:59:26 +08:00
网上大部分基于 PHP 的系统,都是一身洞
|
 |
10
GeorgeGalway 2023-10-25 09:00:04 +08:00 12
@idragonet #4 这种乱扣帽子的行为看到就直接 B
|
 |
11
wheat0r 2023-10-25 09:17:42 +08:00
@stevenchengmask 好多网站写的太屎,前置一个 WAF ,页面功能都异常了😂
|
 |
12
chperfect 2023-10-25 09:20:25 +08:00
不是,网安大队帮忙扫描 bug 的嘛?是不是 内部应用。
|
 |
13
justFxxk2060 2023-10-25 09:27:11 +08:00
我们这里扫了 bug ,还贴心的介绍了第三方工作做加固,16 万 8
后来协商了做一次加固,一份报告,1 万块 |
|
14
justFxxk2060 2023-10-25 09:27:36 +08:00
我们这里扫了 bug ,还贴心的介绍了第三方公司做加固,16 万 8
后来协商了做一次加固,一份报告,1 万块 |
 |
15
BeforeTooLate 2023-10-25 09:34:31 +08:00
PHP 躺枪啊,防注入现在框架基本做的很好了,你用的肯定不是主流框架吧,是不是 n 年不更新的后台管理系统。
|
|
16
Conantv2 2023-10-25 09:35:22 +08:00
@chperfect #12 网络与信息安全信息通报中心,了解一下,各省都有。网络安全法发布之后,各地网安自己跟合作单位都会在互联网上扫描,查到漏洞就会通知网站负责人整改,不改就处罚。
|
 |
17
vaaagle 2023-10-25 09:54:27 +08:00 1
大概意思,看起来像是 xss 漏洞。这锅我个人感觉 PHP 可不想背~
|
 |
18
clue 2023-10-25 10:10:17 +08:00 2
xss 啊,这个和后台关系不大,后台过滤只是帮前台擦屁股;如果用成熟的 vue/react 这样的框架,并且不使用 v-html 等强行设置不转义的 html ,基本不会有 xss 漏洞
|
|
20
clue 2023-10-25 10:23:24 +08:00
@codespots #19 健壮的前端,是可以显示任意字符的,除非原始需求就是要支持用户输入 html ,否则应该一律按文本展示,这时是不会存在 xss 漏洞的
|
 |
22
lupus721 2023-10-25 11:11:17 +08:00
网安可以说扫就扫么,万一扫挂了算谁的。。
14 楼值得多理解理解 |
 |
23
leefor2020 2023-10-25 11:11:31 +08:00
@justFxxk2060 ,怎么听起来感觉像是创收...
|
 |
25
BigShot404 2023-10-25 11:33:23 +08:00 1
我现在知道 ucloud 香港段那群 bot 是用来干嘛的了。
|
 |
26
okakuyang 2023-10-25 11:40:21 +08:00
xss 有后端的也有前端的,后端就是把攻击者把恶意脚本通过各种上传漏洞,变成了用户正常网页的一部分,从而破坏网页,窃取用户机密。
|
 |
28
julyclyde 2023-10-25 12:55:38 +08:00
@leefor2020 创收是勒令你去做等级保护认证
|
 |
30
saberlove 2023-10-25 16:46:22 +08:00 1
还不如 PHP 的框架 。。。
|
 |
31
zjsxwc 2023-10-25 17:17:57 +08:00
都能 js 注入了,
你还不如直接用主流的 php 框架。 |
 |
32
flyqie 2023-10-25 19:39:39 +08:00 via Android
有没有可能,你用的第三方程序并不靠谱。
靠谱的第三方程序比你自己写的安全问题少多了。 并且是否篡改跟你服务器安全防护也有关系,程序再靠谱你服务器安全防护不靠谱也是白费。 |
 |
33
Liftman 2023-10-25 19:45:58 +08:00
网安技术支撑+等保人 来解释下,这个不是地方行为,是上级扫的。无时无刻不在盯着扫描的。特征一抓一堆的。按要求整改就行了。 能被 xss 攻击说明开发经验薄弱。因为这个属于常识问题。商用不会遇到。hw 都不收 xss 的基本上。
|
 |
34
Tink 2023-10-25 19:47:41 +08:00
这网安还是干事的啊
|
 |
35
zhanglintc 2023-10-25 20:18:38 +08:00
“给”还是“被”?
|
 |
36
GeekGao 2023-10-25 22:27:49 +08:00
记住一句话:无利不起早,至于是啥样子的利益链条…我在说梦话。
|
 |
37
lp7631010 2023-10-25 23:26:17 +08:00
避免 xss 最好的办法就是避免直接输出,现在主流的 php 框架,都是用模板引擎,模板引擎你不强制输出原代码的话,是会自动过滤掉 xss 攻击的,就不存在有这个问题。前后端分离项目的话,比如 vue 这种前段框架,自己不骚操作的话,输出显示内容也是会自动过滤掉 xss 攻击的。
归根到底还是水平问题。。。 |
 |
38
iisboy 2023-10-26 00:00:43 +08:00
这不是正常操作么?配合整改就是了。
|
 |
39
zzlyzq 2023-10-26 12:44:58 +08:00
如果需要,我可以帮你安装 safeline ,并使用 awvs 扫描网站进行安全检测。
|
Select Language