Jimmy.x.zhou

摘要： 一、原理跨站脚本Cross-Site Scripting（XSS）是最为流行的Web安全漏洞之一。跨站脚本，就是攻击者可以将恶意的脚本代码注入到用户浏览的其它网页上。XSS攻击主要分类为两种：1、站内攻击，攻击者将攻击脚本提交到网站数据库内（如攻击者的个人信息内含攻击脚本），再欺骗其它人（系统管理员）浏览该页，触发该面的攻击脚本。2、站外攻击，攻击都自制Email或网页，再欺骗其它人浏览该页，触发该面的攻击脚本。二、跨站脚本介绍有如下代码：View Code 1 <asp:TextBox ID="txbUserName" runat="server" 阅读全文

摘要： 这是一篇转载文章，但我实际操作了里面的所有内容，并加入了一些个人的操作和见解。经过学习，发现自己以前做的一些web站点的确存在不少问题，所以将它写在了随笔里，方便以后随时查看。先说一个防守吧，个人经验如下：1.在程序和SP中不使用任何拼接SQL，即使动态语句非用不可，也要保证传入参数不是从页面输入进来的。2.web页面的错误信息严禁公开到客户端(统一转向指定错误页面)3.web.config中的数据库连接语句必须加密处理，连接用户名严禁使用sa。4.sql数据库尽可能多的限制非管理员用户的权限，特别是cmdshell之类。5.所有页面输入的值必须用参数(parameter)形式传值给SQL，严 阅读全文