posts - 710,  comments - 81,  views - 260万
< 2025年3月 >
23 24 25 26 27 28 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 1 2 3 4 5

1>检测到目标URL存在SQL注入漏洞
1.1 url参数必须编码,Server.UrlEncode("")
1.2 数据库操作的查询条件一定不要拼接,必须使用参数如@id,@name

2>检测到目标URL存在宽字节跨站漏洞


3>检测到目标URL存在跨站漏洞
3.1 url参数编码,Server.UrlEncode("")


4>IIS短文件名泄露漏洞
4.1 关闭nfts 8.3
查询:fsutil 8dot3name query
关闭:fsutil 8dot3name set 1

4.2 删除网站中已存在的8.3短文件名
将复制网站,然后将原来的网站删除,再将网站文件夹修改为原来的名称。

4.3 删除wwwroot下的所有短文件名

5>检测到目标站点存在javascript框架库漏洞
jquery已更新到jquery-3.5.1.js版本

6>外部连接

css,js等文件中,注释中的外部连接的地址删除。

6.1>js中的变量中有外部连接

用js的btoa和atob函数,分别进行编码和解码。

btoa("http://www.w3.org/2000/svg")="aHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmc="

atob("aHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmc=")="http://www.w3.org/2000/svg"

 

btoa("http://www.w3.org/1999/xlink")="aHR0cDovL3d3dy53My5vcmcvMTk5OS94bGluaw=="

atob("aHR0cDovL3d3dy53My5vcmcvMTk5OS94bGluaw==")="http://www.w3.org/1999/xlink"

 

btoa("http://www.w3.org/1998/Math/MathML")="HR0cDovL3d3dy53My5vcmcvMTk5OC9NYXRoL01hdGhNTA=="

atob("aHR0cDovL3d3dy53My5vcmcvMTk5OC9NYXRoL01hdGhNTA==")="http://www.w3.org/1998/Math/MathML"

 

posted on   itprobie-菜鸟程序员  阅读(383)  评论(0编辑  收藏  举报
编辑推荐:
· AI与.NET技术实操系列:基于图像分类模型对图像进行分类
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
阅读排行:
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· 25岁的心里话
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· ollama系列01:轻松3步本地部署deepseek,普通电脑可用
· 按钮权限的设计及实现
历史上的今天:
2016-12-09 C#中的线程(二) 线程同步基础
2016-12-09 C#多线程编程
2016-12-09 C#(asp.net )读取ASHX文件(一般处理程序)
2015-12-09 WebService超时
点击右上角即可分享
微信分享提示