摘要:
这是一篇关于XSS攻击的文章,前阵子看到一篇关于博客园找找看XSS漏洞的文章,我研究了一下,发现事隔三个月,漏洞还在,不知为何。漏洞分析用一下找找看的搜索功能就容易发现,搜索功能往url中传递了两个参数名“w”和“t”,输入框对应“w”,搜索分类对应“t”。看不到t参数的,点击一下搜索框上的分类链接就会找到。按常理,输入框是最容易发生攻击的地方,因此找找看也作了防护。根据我的测试,至少有如下两种防护措施:正则表达式匹配并删除字符串包含”<script></script>”的部分。服务器端对输入字符串长度做了限制。虽说方法并不完美,但两个加一起的确可以达到防护目的。参数“ 阅读全文