一直使用thinkphp2.x,通過烏雲有向提交了thinkphp xss攻擊的bug,抽時間看了一下。
原理是通過url傳入script標籤,thinkphp異常錯誤頁面直接輸出了script。
原理:其中m的值是乙個不存在的module,同時是乙個完全的script,在異常錯誤頁面中被執行實現xss跨站攻擊。
防範方法:
找到異www.cppcns.com常錯誤頁面模板thinkexception.tpl.php(2,x),think_exception.tpl(3.x)有兩個地方要修改:
第57行
複製** **如下:
echo($_server['php_self'])
改為複製** **如下:
echo strip_tags($_server['php_self'])
第62行複製** **如下:
echo $e['message']
改為複製** **如下:
echo strip_tags($e['message'])
另外,thinkphp自3.0開始官方已經對tp變數group_name,m程式設計客棧odule_name,action_name,__url__,__self__,__app__,$_server['php_self']做了安全處理。
本文標題: thinkphp2.x防範xss跨站攻擊的方法
本文位址: /wangluo/php/131716.html
ThinkPHP防範XSS跨站攻擊
有人在烏雲向我提交了thinkphp xss攻擊的bug,抽時間看了一下。原理是通過url傳入script標籤,thinkphp異常錯誤 頁面直接輸出了script。原理 其中m的值是乙個不存在的module,同時是乙個完全的script,在異常錯誤頁面中被執行實現xss跨站攻擊。防範方法 找到異常...
跨站指令碼攻擊 XSS
跨站指令碼攻擊,cross site script,為了區別css,英文縮寫為xss xss攻擊,通常指hacker通過 html注入 篡改了網頁,插入惡意的指令碼,從而在使用者瀏覽網頁時,控制使用者瀏覽器的一種攻擊。xss根據效果的不同可以分為如下幾類 1.反射型xss 通過將使用者輸入的資料 反...
Xss跨站指令碼攻擊
1.內容 攻擊者在web網頁中插入惡意js 當使用者瀏覽該瀏覽器頁面的時候,嵌入web中的js 會被執行,從而受到惡意攻擊,這就是跨站指令碼攻擊。xss指令碼植入方式前台接收資料存入資料庫,在渲染頁面時從資料庫中讀取相應資訊 2 分類 1 反射性的xss 發出請求時,xss 出現在url中,作為輸入...