phpxss跨站腳本漏洞

A. ASP網站的XSS跨站漏洞出現原因及解決辦法

Xss漏洞主要利用的是把輸出的內容信息轉化成腳本信息，這就需要把輸出信息做過濾，這方面的過濾API可以考慮OWASP的ESAPI。這個API有面向ASP的版本，去OWASP官網去找吧。

惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web裡面的html代碼會被執行，從而達到惡意用戶的特殊目的。
ASP
漏洞代碼示例：
<%
Dimparam
Setparam=Request.QueryString(「dd」)
response.writeparam
%>
修復範例：
<%
Dimparam
Setparam=Request.QueryString(「dd」)
response.writeServer.HTMLEnCode(param)
%>
php
漏洞代碼示例：
<?php
$aa=$_GET['dd'];
echo$aa.」123″;
?>
修復範例：
<?php
$aa=$_GET['dd'];
echohtmlspecialchars($aa).」123″;
?>

B. 如何測試XSS漏洞

XSS跨站漏洞分為大致三種：儲存型XSS，反射型XSS，和DOM型XSS，一般都是由於網站對用戶輸入的參數過濾不嚴格而調用瀏覽器的JS而產生的。XSS幾乎每個網站都存在，google，網路，360等都存在，存在和危害范圍廣，危害安全性大。

具體利用的話：
儲存型XSS，一般是構造一個比如說"<script>alert("XSS")</script>"的JS的彈窗代碼進行測試，看是否提交後在頁面彈窗，這種儲存型XSS是被寫入到頁面當中的，如果管理員不處理，那麼將永久存在，這種XSS攻擊者可以通過留言等提交方式，把惡意代碼植入到伺服器網站上， 一般用於盜取COOKIE獲取管理員的信息和許可權。

反射型XSS，一般是在瀏覽器的輸入欄也就是urlget請求那裡輸入XSS代碼，例如：127.0.0.1/admin.php?key="><script>alert("xss")</script>，也是彈窗JS代碼。當攻擊者發送一個帶有XSS代碼的url參數給受害者，那麼受害者可能會使自己的cookie被盜取或者「彈框「，這種XSS一次性使用，危害比儲存型要小很多。

dom型：常用於挖掘，是因為api代碼審計不嚴所產生的，這種dom的XSS彈窗可利用和危害性並不是很大，大多用於釣魚。比起存儲型和反射型，DOM型並不常用。

缺點：
1、耗時間
2、有一定幾率不成功
3、沒有相應的軟體來完成自動化攻擊
4、前期需要基本的html、js功底，後期需要扎實的html、js、actionscript2/3.0等語言的功底
5、是一種被動的攻擊手法
6、對website有http-only、crossdomian.xml沒有用

所以樓主如果想更加深層次的學習XSS的話，最好有扎實的前後端開發基礎，還要學會代碼審計等等。

推薦的話，書籍建議看看《白帽子講web安全》，《XSS跨站腳本攻擊剖析與防禦》
一般配合的話，kalilinux裡面的BEFF是個很著名的XSS漏洞利用工具，樓主有興趣可以去看看。

純手工打字，望樓主採納。

C. 如何實現php的安全最大化怎樣避免sql注入漏洞和xss跨站腳本攻擊漏洞

使用php安全模式

伺服器要做好管理，賬號許可權是否合理。

假定所有用戶的輸入都是「惡意」的，防止XSS攻擊，譬如：對用戶的輸入輸出做好必要的過濾

防止CSRF，表單設置隱藏域，post一個隨機字元串到後台，可以有效防止跨站請求偽造。

文件上傳，檢查是否做好效驗，要注意上傳文件存儲目錄許可權。

防禦SQL注入。

避免SQL注入漏洞

1.使用預編譯語句

2.使用安全的存儲過程

3.檢查輸入數據的數據類型

4.從資料庫自身的角度考慮，應該使用最小許可權原則，不可使用root或dbowner的身份連接資料庫。若多個應用使用同一個資料庫，也應該為資料庫分配不同的賬戶。web應用使用的資料庫賬戶，不應該有創建自定義函數，操作本地文件的許可權。

避免XSS跨站腳本攻擊

1.假定所有用戶輸入都是「邪惡」的

2.考慮周全的正則表達式

3.為cookie設置HttpOnly,防止cookie劫持

4.外部js不一定可靠

5.出去不必要的HTML注釋

6. 針對非法的HTML代碼包括單雙引號等，使用htmlspecialchars()函數。

D. 網站被百度安全聯盟提示高危網站怎麼辦網站存在高危漏洞怎麼辦

你只要在你的網站上安裝一個安全軟體，殺一下毒再去網路聯盟那裡去弄一下。

1、高危漏洞
高危漏洞包括：SQL注入漏洞、XSS跨站腳本漏洞、頁面存在源代碼泄露、網站存在備份文件、網站存在包含SVN信息的文件、網站存在Resin任意文件讀取漏洞。
SQL注入漏洞：網站程序忽略了對輸入字元串中包含的SQL語句的檢查，使得包含的SQL語句被資料庫誤認為是合法的SQL指令而運行，導致資料庫中各種敏感數據被盜取、更改或刪除。
XSS跨站腳本漏洞：網站程序忽略了對輸入字元串中（如<>'"<script><iframe>onload）特殊字元與字元串的檢查，使得攻擊者可以欺騙用戶訪問包含惡意javaScript代碼的頁面，使得惡意代碼在用戶瀏覽器中執行，從而導致目標用戶許可權被盜取或數據被篡改。
頁面存在源代碼泄露：頁面存在源代碼泄露,可能導致網站服務的關鍵邏輯、配置的賬號密碼泄露，攻擊者利用該信息可以更容易得到網站許可權，導致網站被黑。
網站存在備份文件：網站存在備份文件，例如資料庫備份文件、網站源碼備份文件等，攻擊者利用該信息可以更容易得到網站許可權，導致網站被黑。
網站存在包含SVN信息的文件：網站存在包含SVN信息的文件，這是網站源碼的版本控制器私有文件，裡麵包含SVN服務的地址、提交的私有文件名、SVN用戶名等信息，該信息有助於攻擊者更全面了解網站的架構，為攻擊者入侵網站提供幫助。
網站存在Resin任意文件讀取漏洞：安裝某些版本Resin伺服器的網站存在可讀取任意文件的漏洞，攻擊者利用該漏洞可以讀取網站伺服器的任意文件內容，導致網站被黑。
2、中危漏洞
中危漏洞包括：網站存在目錄瀏覽漏洞、網站存在PHPINFO文件、網站存在伺服器環境探針文件、網站存在日誌信息文件、網站存在JSP示例文件。
網站存在目錄瀏覽漏洞：網站存在配置缺陷，存在目錄可瀏覽漏洞，這會導致網站很多隱私文件與目錄泄露，比如資料庫備份文件、配置文件等，攻擊者利用該信息可以更容易得到網站許可權，導致網站被黑。
網站存在PHPINFO文件：網站存在PHPINFO文件，這個是PHP特有的信息文件，會導致網站的大量架構信息泄露，該信息有助於攻擊者更全面了解網站的架構，為攻擊者入侵網站提供幫助。
網站存在伺服器環境探針文件：網站存在伺服器環境探針文件，該文件會導致網站的大量架構信息泄露，該信息有助於攻擊者更全面了解網站的架構，為攻擊者入侵網站提供幫助。
網站存在日誌信息文件：網站存在日誌信息文件，該文件包含的錯誤信息會導致網站的一些架構信息泄露，該信息有助於攻擊者更全面了解網站的架構，為攻擊者入侵網站提供幫助。
網站存在JSP示例文件：網站存在JSP示例文件，該文件的弱口令會導致網站的大量架構信息泄露，該信息有助於攻擊者更全面了解網站的架構，為攻擊者入侵網站提供幫助。
3、低危漏洞
低危漏洞包括：頁面上存在網站程序的調試信息、網站存在後台登錄地址、網站存在服務端統計信息文件、網站存在敏感目錄。
頁面上存在網站程序的調試信息：頁面上存在資料庫信息，例如資料庫名、資料庫管理員名，該信息有助於攻擊者更全面了解網站的架構，為攻擊者入侵網站提供幫助。
網站存在後台登錄地址：網站存在後台登錄地址，攻擊者經常使用這個地址進行網站的後台登陸，比如弱密碼、表單繞過、暴力破解等，從而得到網站的許可權。
網站存在服務端統計信息文件：網站存在服務端統計信息文件，該文件會導致網站的一些架構信息泄露，該信息有助於攻擊者更全面了解網站的架構，為攻擊者入侵網站提供幫助。

E. 最近網上流行的XSS是什麼意思

最近網上流行的XSS是小學生的惡稱，罵小學生的。

一是指某些人的想法、思維方式、對事物的認知和思考能力如孩子般幼稚、單純、天真。

二是特指某類相對於同齡的人，在游戲競技或者社交網路中， 態度傲慢、技術水準較差、拒絕與隊友溝通、獨斷專行、忽視團隊合作、甚至喜歡惡語相向的網遊玩家。

三是指對沒有接觸過社會或社會經驗不足。

(5)phpxss跨站腳本漏洞擴展閱讀：

1、小學生技術菜，愛罵人，玻璃心（說他一句就掛機送人頭，不管說什麼，比如：中路的你不要再送了，然後他就說「我就送」，接著就開始了。）小學生的心思就像星空，摸不著猜不透。

2、大噴子（網路中對喜歡肆意謾罵、地域黑、招黑、互黑等網友的一種廣泛性定義。），不分青紅皂白就開噴。

3、說話不經過大腦考慮，以自我為中心，可能是在家被寵慣了。

4、沒有接觸過社會大家庭或接觸社會經驗不足。比如：參加工作，你要是不讓新人上，永遠都是新人。這也是小學生。

F. XSS攻擊原理是什麼

Xss(cross-site scripting)攻擊指的是攻擊者往Web頁面里插入惡意html標簽或者javascript代碼，當用戶瀏覽該頁或者進行某些操作時，攻擊者利用用戶對原網站的信任，誘騙用戶或瀏覽器執行一些不安全的操作或者向其它網站提交用戶的私密信息。
比如：攻擊者在論壇中放一個看似安全的鏈接，騙取用戶點擊後，竊取cookie中的用戶私密信息；或者攻擊者在論壇中加一個惡意表單，當用戶提交表單的時候，卻把信息傳送到攻擊者的伺服器中，而不是用戶原本以為的信任站點。
諸如此類，唯一能完全杜絕xss攻擊的方法，就是禁用script，img等，顯然這是不靠譜的，用戶需要豐富的頁面內容；當然我們可以用一些方法預防xss攻擊，盡量減少xss造成的危害。

XSS攻擊的危害包括
盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號
控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力
盜竊企業重要的具有商業價值的資料
非法轉賬
強制發送電子郵件
網站掛馬
控制受害者機器向其它網站發起攻擊

G. 什麼是phpinfo xss跨站腳本攻擊漏洞

php是一款被廣泛使用的編程語言，可以被嵌套在html里用做web程序開發。phpinfo()是用來顯示當前php環境的一個函數，許多站點和程序都會將phpinfo放在自己的站點上或者在程序里顯示，但是phpinfo里存在一些安全問題，導致精心構造數據就可以產生一個跨站腳本漏洞，可以被用來進行攻擊。

漏洞成因： phpinfo頁面對輸入的參數都做了詳細的過濾，但是沒有對輸出的進行charset的指定，而在一些瀏覽器里如IE7里，你可以讓它自動選擇編碼或者通過一個iframe頁面給它指定編碼，這樣就可以饒過phpinfo的過濾而產生一個跨站腳本漏洞。
漏洞來源: http://www.80sec.com/release/phpinfo-xss.txt
漏洞利用： 利用代碼如下：

<html>
<head>
<META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=UTF-7">
</head>
<body>
<iframe src="http://www.80sec.com/phpinfo.php?+ADw-SCRIPT+AD4-alert(document.domain);+ADw-/SCRIPT+AD4-=1">

以上代碼在IE7+php 5.2.6測試成功。phpinfo頁面的xss甚至比其他頁面更加危險，因為如果有phpinfo的存在，惡意攻擊者可以利用phpinfo的輸出bypass如httponly和一些基礎認證。
漏洞影響： 影響所有版本的php和瀏覽器IE7
漏洞修補： 建議暫時刪除站點的phpinfo頁面避免被人利用。

H. 如何修復PHP跨站腳本攻擊漏洞

你這截圖上不是有方法么，檢查後台的代碼，將用戶提交過來的信息進行htmlspecialchars（）後在操作數據。或者自己編寫代碼，將特殊符號進行正則匹配然後給替換掉。

I. 如何正確防禦xss攻擊

傳統防禦技術

2.1.1基於特徵的防禦

傳統XSS防禦多採用特徵匹配方式，在所有提交的信息中都進行匹配檢查。對於這種類型的XSS攻擊，採用的模式匹配方法一般會需要對「javascript」這個關鍵字進行檢索，一旦發現提交信息中包含「javascript」，就認定為XSS攻擊。

2.1.2 基於代碼修改的防禦

和SQL注入防禦一樣，XSS攻擊也是利用了Web頁面的編寫疏忽，所以還有一種方法就是從Web應用開發的角度來避免：

1、對所有用戶提交內容進行可靠的輸入驗證，包括對URL、查詢關鍵字、HTTP頭、POST數據等，僅接受指定長度范圍內、採用適當格式、採用所預期的字元的內容提交，對其他的一律過濾。

2、實現Session標記(session tokens)、CAPTCHA系統或者HTTP引用頭檢查，以防功能被第三方網站所執行。

3、確認接收的的內容被妥善的規范化，僅包含最小的、安全的Tag(沒有javascript)，去掉任何對遠程內容的引用(尤其是樣式表和javascript)，使用HTTP only的cookie。

當然，如上方法將會降低Web業務系統的可用性，用戶僅能輸入少量的制定字元，人與系統間的交互被降到極致，僅適用於信息發布型站點。

並且考慮到很少有Web編碼人員受過正規的安全培訓，很難做到完全避免頁面中的XSS漏洞。

(9)phpxss跨站腳本漏洞擴展閱讀：

XSS攻擊的危害包括

1、盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號

2、控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力

3、盜竊企業重要的具有商業價值的資料

4、非法轉賬

5、強制發送電子郵件

6、網站掛馬

7、控制受害者機器向其它網站發起攻擊

受攻擊事件

新浪微博XSS受攻擊事件

2011年6月28日晚，新浪微博出現了一次比較大的XSS攻擊事件。

大量用戶自動發送諸如：

「郭美美事件的一些未注意到的細節」，「建黨大業中穿幫地方」，「讓女人心動的100句詩歌」，「這是傳說中的神仙眷侶啊」等等微博和私信，並自動關注一位名為hellosamy的用戶。

事件的經過線索如下：

20:14，開始有大量帶V的認證用戶中招轉發蠕蟲

20:30，某網站中的病毒頁面無法訪問

20:32，新浪微博中hellosamy用戶無法訪問

21:02，新浪漏洞修補完畢

網路貼吧xss攻擊事件

2014年3月9晚，六安吧等幾十個貼吧出現點擊推廣貼會自動轉發等。並且吧友所關注的每個關注的貼吧都會轉一遍，病毒循環發帖。並且導致吧務人員，和吧友被封禁。