1>检测到目标URL存在SQL注入漏洞
1.1 url参数必须编码,Server.UrlEncode("")
1.2 数据库操作的查询条件一定不要拼接,必须使用参数如@id,@name
2>检测到目标URL存在宽字节跨站漏洞
3>检测到目标URL存在跨站漏洞
3.1 url参数编码,Server.UrlEncode("")
4>IIS短文件名泄露漏洞
4.1 关闭nfts 8.3
查询:fsutil 8dot3name query
关闭:fsutil 8dot3name set 1
4.2 删除网站中已存在的8.3短文件名
将复制网站,然后将原来的网站删除,再将网站文件夹修改为原来的名称。
4.3 删除wwwroot下的所有短文件名
5>检测到目标站点存在javascript框架库漏洞
jquery已更新到jquery-3.5.1.js版本
6>外部连接
css,js等文件中,注释中的外部连接的地址删除。
6.1>js中的变量中有外部连接
用js的btoa和atob函数,分别进行编码和解码。
btoa("http://www.w3.org/2000/svg")="aHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmc="
atob("aHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmc=")="http://www.w3.org/2000/svg"
btoa("http://www.w3.org/1999/xlink")="aHR0cDovL3d3dy53My5vcmcvMTk5OS94bGluaw=="
atob("aHR0cDovL3d3dy53My5vcmcvMTk5OS94bGluaw==")="http://www.w3.org/1999/xlink"
btoa("http://www.w3.org/1998/Math/MathML")="HR0cDovL3d3dy53My5vcmcvMTk5OC9NYXRoL01hdGhNTA=="
atob("aHR0cDovL3d3dy53My5vcmcvMTk5OC9NYXRoL01hdGhNTA==")="http://www.w3.org/1998/Math/MathML"
