1>检测到目标URL存在SQL注入漏洞
1.1 url参数必须编码,Server.UrlEncode("")
1.2 数据库操作的查询条件一定不要拼接,必须使用参数如@id,@name
2>检测到目标URL存在宽字节跨站漏洞
3>检测到目标URL存在跨站漏洞
3.1 url参数编码,Server.UrlEncode("")
4>IIS短文件名泄露漏洞
4.1 关闭nfts 8.3
查询:fsutil 8dot3name query
关闭:fsutil 8dot3name set 1
4.2 删除网站中已存在的8.3短文件名
将复制网站,然后将原来的网站删除,再将网站文件夹修改为原来的名称。
4.3 删除wwwroot下的所有短文件名
5>检测到目标站点存在javascript框架库漏洞
jquery已更新到jquery-3.5.1.js版本
6>外部连接
css,js等文件中,注释中的外部连接的地址删除。
6.1>js中的变量中有外部连接
用js的btoa和atob函数,分别进行编码和解码。
btoa("http://www.w3.org/2000/svg")="aHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmc="
atob("aHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmc=")="http://www.w3.org/2000/svg"
btoa("http://www.w3.org/1999/xlink")="aHR0cDovL3d3dy53My5vcmcvMTk5OS94bGluaw=="
atob("aHR0cDovL3d3dy53My5vcmcvMTk5OS94bGluaw==")="http://www.w3.org/1999/xlink"
btoa("http://www.w3.org/1998/Math/MathML")="HR0cDovL3d3dy53My5vcmcvMTk5OC9NYXRoL01hdGhNTA=="
atob("aHR0cDovL3d3dy53My5vcmcvMTk5OC9NYXRoL01hdGhNTA==")="http://www.w3.org/1998/Math/MathML"
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列:基于图像分类模型对图像进行分类
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· 25岁的心里话
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· ollama系列01:轻松3步本地部署deepseek,普通电脑可用
· 按钮权限的设计及实现
2016-12-09 C#中的线程(二) 线程同步基础
2016-12-09 C#多线程编程
2016-12-09 C#(asp.net )读取ASHX文件(一般处理程序)
2015-12-09 WebService超时