安全漏洞扫描

1>检测到目标URL存在SQL注入漏洞
1.1 url参数必须编码,Server.UrlEncode("")
1.2 数据库操作的查询条件一定不要拼接，必须使用参数如@id,@name

2>检测到目标URL存在宽字节跨站漏洞

3>检测到目标URL存在跨站漏洞
3.1 url参数编码，Server.UrlEncode("")

4>IIS短文件名泄露漏洞
4.1 关闭nfts 8.3
查询：fsutil 8dot3name query
关闭：fsutil 8dot3name set 1

4.2 删除网站中已存在的8.3短文件名
将复制网站，然后将原来的网站删除，再将网站文件夹修改为原来的名称。

4.3 删除wwwroot下的所有短文件名

5>检测到目标站点存在javascript框架库漏洞
jquery已更新到jquery-3.5.1.js版本

6>外部连接

css，js等文件中，注释中的外部连接的地址删除。

6.1>js中的变量中有外部连接

用js的btoa和atob函数，分别进行编码和解码。

btoa("http://www.w3.org/2000/svg")="aHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmc="

atob("aHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmc=")="http://www.w3.org/2000/svg"

 

btoa("http://www.w3.org/1999/xlink")="aHR0cDovL3d3dy53My5vcmcvMTk5OS94bGluaw=="

atob("aHR0cDovL3d3dy53My5vcmcvMTk5OS94bGluaw==")="http://www.w3.org/1999/xlink"

 

btoa("http://www.w3.org/1998/Math/MathML")="HR0cDovL3d3dy53My5vcmcvMTk5OC9NYXRoL01hdGhNTA=="

atob("aHR0cDovL3d3dy53My5vcmcvMTk5OC9NYXRoL01hdGhNTA==")="http://www.w3.org/1998/Math/MathML"