前几天收到一邮件 说是 我提供的一个网页里有XSS漏洞.
URL是 https://helloacm.com/curl/?url=http://itsec.guitch404.eu/headers.php 在修复之前会有一个对话框被执行了.
原因是 HTML标记符号(小于号和大于号) < > 没有被转义 直接导致了可以在返回给用户的数据中夹杂着JS或者其它代码在浏览器里被执行.
通过API就可以看出得到的数据: https://helloacm.com/api/curl/?url=http://itsec.guitch404.eu/headers.php
"HTTP\/1.1 200 OK\r\nSet-Cookie: 300gpBAK=R4178785959; path=\/; expires=Tue, 18-Aug-2015 23:47:47 GMT\r\nContent-Type: text\/html; charset=UTF-8\r\nSet-Cookie: 300gp=R394784785; path=\/; expires=Tue, 18-Aug-2015 23:46:23 GMT\r\nServer: Apache\r\nItSec: <script>alert(\"XSSPOSED\")<\/script>\r\nAccess-Control-Allow-Origin: *\r\nVary: Accept-Encoding\r\nContent-Encoding: gzip\r\nDate: Tue, 18 Aug 2015 22:32:37 GMT\r\nConnection: keep-alive\r\nX-Geo: varn32.rbx5\r\nX-Geo-Port: 1011\r\nX-Cacheable: Not cacheable: no cache headers from backend\r\n\r\n"
解决方法
在返回给用户的浏览器数据里用 PHP中的 htmlspecialchars 函数进行过滤 比如 把 < 翻译成 <
英文: https://helloacm.com/full-disclosure-helloacm-com-xss-vulnerability-notification/
强烈推荐
- 英国代购-畅购英伦
- TopCashBack 返现 (英国购物必备, 积少成多, 我2年来一共得了3000多英镑)
- Quidco 返现 (也是很不错的英国返现网站, 返现率高)
- 注册就送10美元, 免费使用2个月的 DigitalOcean 云主机(性价比超高, 每月只需5美元)
- 注册就送10美元, 免费使用4个月的 Vultr 云主机(性价比超高, 每月只需2.5美元)
- 注册就送10美元, 免费使用2个月的 阿里 云主机(性价比超高, 每月只需4.5美元)
- 注册就送20美元, 免费使用4个月的 Linode 云主机(性价比超高, 每月只需5美元) (折扣码: PodCastInit2022)
- PlusNet 英国光纤(超快, 超划算! 用户名 doctorlai)
- 刷了美国运通信用卡一年得到的积分 换了 485英镑
- 注册就送50英镑 – 英国最便宜最划算的电气提供商
- 能把比特币莱特币变现的银行卡! 不需要手续费就可以把虚拟货币法币兑换
微信公众号: 小赖子的英国生活和资讯 JustYYUK