人生是一场不能存盘的RPG,我只能尽量多搞几个Screenshot :: May :: 2007

May 11, 2007

XSS的资料收集

Filed under: ASP.NET

常见的手法:
在页面或地址栏中写入javascript代码,经过HEX编码编码後会更隐蔽.
javaScript的用途:
盗取当前用户的cookie信息
通过XMLHttpRequest() 整蛊web server.

如何检查XSS
在各种输入接口输入或者在GET的URL参数中加入： “><img src=1 onerror=javascript:alert(document.cookie)><” 如果有js alert执行，说明可能有潜在漏洞。

防御
过滤非法的输入
把user提交的某些可以在浏览器中执行的代码encode後再发送给请求者

The Cross Site Scripting (XSS) FAQ
http://www.cgisecurity.com/articles/xss-faq.shtml

How To: Prevent Cross-Site Scripting in ASP.NET
http://msdn2.microsoft.com/en-us/library/ms998274.aspx

MS Anti-Cross Site Scripting Library V1.5
http://blog.joycode.com/saucer/archive/2006/11/21/87365.aspx
http://msdn2.microsoft.com/en-us/security/aa973814.aspx

Comments (0)

Home

Links:

Categories:
- Blog使用 (4)
- 网络资源 (6)
- 随便说说 (5)
- 其他 (3)
- 娱乐 (6)
- 技术 (1)
  - .NET (30)
    - C# (8)
    - Code snippets (19)
  - ASP.NET (55)
  - 经验积累 (6)
  - Design Pattern (4)
  - My Questions (2)
  - Regular Expression (4)
  - SQL&DB Accessing (19)
  - Web cast学习 (5)
  - Web Service (1)
  - Windows platform (7)
  - 开发工具 (7)
    - NAnt (2)
    - Visual Studio (16)
    - WinDbg&SOS (5)
  - 技术资源 (5)
  - 技术书籍 (2)
  - 技术以外 (3)
  - 代码学习 (12)
  - 使用技巧 (15)
- 歌词 (5)
- 乱翻书 (5)

Search:

Archives:

Most Recent Posts

Most Popular Posts
- 回来看看: 11
- String Resource使用: 9
- 为什么在派生类中再...: 8

Other:
- login
- register

Meta:

Get free blog up and running in minutes with Blogsome
Theme designed by Hadley Wickham