isfirst 2023-08-05 01:51 采纳率: 0%
浏览 2

请问这种web 安全测试结果应该如何修改

NO.7漏洞地址 znd.dawan.cn/test.html
攻击详情 存在漏洞的位置是GET方法的referer参数
payload为"><marquee><img src=x onerror=abcd(1)></marquee><"
在返回页面中的img[onerror]标签中匹配到abcd(1),确定漏洞存在

请求 GET /test.html HTTP/1.1
Host: znd.dawan.cn
X-Schema: http

Connection: keep-alive
Accept-Encoding: gzip, deflate
Referer: http://znd.dawan.cn/exception_management.html
Cookie: Hm_lvt_085fc38faf3a4fade22b53ddde0f1e04=1688573025,1689214010,1689231711,1689863473; Hm_lvt_cd44f738169a36ff869eee3ca6afb9b1=1686189576,1687223390; Hm_lpvt_085fc38faf3a4fade22b53ddde0f1e04=1690893532; displayPwdExpiredTip=true; ASP.NET_SessionId=fyrsta0231prxignhuz2kzwm;
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
referer: "&gt&ltmarquee&gt&ltimg src=x onerror=abcd(1)&gt&lt/marquee&gt&lt"<br......

  • 写回答

1条回答 默认 最新

  • 田猿笔记 2023-08-05 08:46
    关注

    为了增强您的网站安全性,您可以考虑以下几个建议:

    修复漏洞:您可以根据测试结果,修改web应用程序的代码,确保referer参数的合法性和安全性,避免潜在的注入攻击。
    输入验证:对于所有用户输入,应该进行严格的验证和过滤,确保不会插入恶意代码或特殊字符。
    安全编码实践:遵循安全编码实践,例如使用预防跨站脚本攻击(XSS)的安全标头和内容安全策略。
    安全审计:定期对网站进行安全审计和漏洞扫描,及时发现并修复潜在的漏洞。

    评论

报告相同问题?

问题事件

  • 创建了问题 8月5日

悬赏问题

  • ¥15 oracle数据库查询语句问题
  • ¥15 有没有c++绘制算法的佬们吗救孩一下
  • ¥15 android 蓝牙闪退
  • ¥15 绝缘子污秽comsol仿真参数
  • ¥15 Fatal error in Process MEMORY
  • ¥15 labelme生成的json有乱码?
  • ¥30 arduino vector defined in discarded section `.text' of wiring.c.o (symbol from plugin)
  • ¥20 如何训练大模型在复杂因素组成的系统中求得最优解
  • ¥15 关于#r语言#的问题:在进行倾向性评分匹配时,使用“match it"包提示”错误于eval(family$initialize): y值必需满足0 <= y <= 1“请问在进行PSM时
  • ¥45 求17位带符号原码乘法器verilog代码