xss驗證命令

1. 如何測試本地程序的安全性如 sql注入 XSS攻擊

所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串，最終達到欺騙伺服器執行惡意的SQL命令。具體來說，它是利用現有應用程序，將（惡意）的SQL命令注入到後台資料庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的資料庫，而不是按照設計者意圖去執行SQL語句。比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的，這類表單特別容易受到SQL注入式攻擊．
防護
歸納一下，主要有以下幾點：
1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和
雙"-"進行轉換等。
2.永遠不要使用動態拼裝sql，可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。
3.永遠不要使用管理員許可權的資料庫連接，為每個應用使用單獨的許可權有限的資料庫連接。
4.不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息。
5.應用的異常信息應該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝
6.sql注入的檢測方法一般採取輔助軟體或網站平台來檢測，軟體一般採用sql注入檢測工具jsky，網站平台就有億思網站安全平台檢測工具。MDCSOFT SCAN等。採用MDCSOFT-IPS可以有效的防禦SQL注入，XSS攻擊等。

2. 網站滲透測試，怎麼進行

如果你想自己做，可以找一些網站檢測的工具，比哪WVS，JSKY之類，對網站進行掃描。
當然，如果你懂具體的手工滲透技術，那就再結合手工滲透吧。

成都優創信安，專注於網路安全、網站檢測、網站滲透、數據分析、安全加固。

3. input怎樣能排除JS命令，防止XSS攻擊

1、對input輸入框進行輸入限制，防止輸入一些特殊符號。
2、對input的輸入長度進行限制，因為一般代碼長度會比較長，限制長度就可以有效防止這種情況。
3、表單提交注意使用post方式提交。
4、希望對你有幫助。

4. XSS攻擊的背景知識

1.1 什麼是XSS攻擊
XSS是一種經常出現在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由於被黑客用來編寫危害性更大的網路釣魚(Phishing)攻擊而變得廣為人知。對於跨站腳本攻擊，黑客界共識是：跨站腳本攻擊是新型的「緩沖區溢出攻擊「，而javaScript是新型的「ShellCode」。
數據來源：2007 OWASP Top 10的MITRE數據
註：OWASP是世界上最知名的Web安全與資料庫安全研究組織
在2007年OWASP所統計的所有安全威脅中，跨站腳本攻擊佔到了22%，高居所有Web威脅之首。
XSS攻擊的危害包括
1、盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號
2、控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力
3、盜竊企業重要的具有商業價值的資料
4、非法轉賬
5、強制發送電子郵件
6、網站掛馬
7、控制受害者機器向其它網站發起攻擊
1.2 XSS漏洞的分類
XSS漏洞按照攻擊利用手法的不同，有以下三種類型：
類型A，本地利用漏洞，這種漏洞存在於頁面中客戶端腳本自身。其攻擊過程如下所示：
Alice給Bob發送一個惡意構造了Web的URL。
Bob點擊並查看了這個URL。
惡意頁面中的JavaScript打開一個具有漏洞的HTML頁面並將其安裝在Bob電腦上。
具有漏洞的HTML頁麵包含了在Bob電腦本地域執行的JavaScript。
Alice的惡意腳本可以在Bob的電腦上執行Bob所持有的許可權下的命令。
類型B，反射式漏洞，這種漏洞和類型A有些類似，不同的是Web客戶端使用Server端腳本生成頁面為用戶提供數據時，如果未經驗證的用戶數據被包含在頁面中而未經HTML實體編碼，客戶端代碼便能夠注入到動態頁面中。其攻擊過程如下：
Alice經常瀏覽某個網站，此網站為Bob所擁有。Bob的站點運行Alice使用用戶名/密碼進行登錄，並存儲敏感信息(比如銀行帳戶信息)。
Charly發現Bob的站點包含反射性的XSS漏洞。
Charly編寫一個利用漏洞的URL，並將其冒充為來自Bob的郵件發送給Alice。
Alice在登錄到Bob的站點後，瀏覽Charly提供的URL。
嵌入到URL中的惡意腳本在Alice的瀏覽器中執行，就像它直接來自Bob的伺服器一樣。此腳本盜竊敏感信息(授權、信用卡、帳號信息等)然後在Alice完全不知情的情況下將這些信息發送到Charly的Web站點。
類型C，存儲式漏洞，該類型是應用最為廣泛而且有可能影響到Web伺服器自身安全的漏洞，駭客將攻擊腳本上傳到Web伺服器上，使得所有訪問該頁面的用戶都面臨信息泄漏的可能，其中也包括了Web伺服器的管理員。其攻擊過程如下：
Bob擁有一個Web站點，該站點允許用戶發布信息/瀏覽已發布的信息。
Charly注意到Bob的站點具有類型C的XSS漏洞。
Charly發布一個熱點信息，吸引其它用戶紛紛閱讀。
Bob或者是任何的其他人如Alice瀏覽該信息，其會話cookies或者其它信息將被Charly盜走。
類型A直接威脅用戶個體，而類型B和類型C所威脅的對象都是企業級Web應用。

5. cad軟體中的xssy是什麼命令

• CAD命令中，沒有xssy命令。

• X開頭所有命令如下：

• X（EXPLODE）將合成對象分解為其部件對象。

• XA（XATTACH）將外部參照附著到當前圖形。

• XB（XBIND）外部參照綁定對話框。

• XC（XCLIP）定義外部參照或塊剪裁邊界，並設置前剪裁平面或後剪裁平面

• XL（XLINE）創建無限長的線

• XR（XREF）外部參照管理器、 控制圖形文件的外部參照 。

• 在CAD軟體操作中，為使用者方便，於在Windows中工作時一樣，利用快捷鍵代替滑鼠。可以利用鍵盤快捷鍵發出命令，完成繪圖，修改，保存等操作。這些命令鍵就是CAD命令。
  

6. 如何使用Burp Suite模糊測試SQL注入，XSS，命令執行漏洞

試試騰訊電腦管家，殺毒+管理2合1，還可以自動修復漏洞：第一時間發現並修復系統存在的高危漏洞，在不打擾您的情況下自動為系統打上漏洞補丁，輕輕鬆鬆將病毒木馬拒之門外。自動修復漏洞 電腦管家可以在發現高危漏洞（僅包括高危漏洞，不包括其它漏洞）時，第一時間自動進行修復，無需用戶參與，最大程度保證用戶電腦安全。尤其適合老人、小孩或計算機初級水平用戶使用

7. XSS攻擊原理是什麼

Xss(cross-site scripting)攻擊指的是攻擊者往Web頁面里插入惡意html標簽或者javascript代碼，當用戶瀏覽該頁或者進行某些操作時，攻擊者利用用戶對原網站的信任，誘騙用戶或瀏覽器執行一些不安全的操作或者向其它網站提交用戶的私密信息。
比如：攻擊者在論壇中放一個看似安全的鏈接，騙取用戶點擊後，竊取cookie中的用戶私密信息；或者攻擊者在論壇中加一個惡意表單，當用戶提交表單的時候，卻把信息傳送到攻擊者的伺服器中，而不是用戶原本以為的信任站點。
諸如此類，唯一能完全杜絕xss攻擊的方法，就是禁用script，img等，顯然這是不靠譜的，用戶需要豐富的頁面內容；當然我們可以用一些方法預防xss攻擊，盡量減少xss造成的危害。

XSS攻擊的危害包括
盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號
控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力
盜竊企業重要的具有商業價值的資料
非法轉賬
強制發送電子郵件
網站掛馬
控制受害者機器向其它網站發起攻擊