phpxss跨站脚本漏洞

A. ASP网站的XSS跨站漏洞出现原因及解决办法

Xss漏洞主要利用的是把输出的内容信息转化成脚本信息，这就需要把输出信息做过滤，这方面的过滤API可以考虑OWASP的ESAPI。这个API有面向ASP的版本，去OWASP官网去找吧。

恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。
ASP
漏洞代码示例：
<%
Dimparam
Setparam=Request.QueryString(“dd”)
response.writeparam
%>
修复范例：
<%
Dimparam
Setparam=Request.QueryString(“dd”)
response.writeServer.HTMLEnCode(param)
%>
php
漏洞代码示例：
<?php
$aa=$_GET['dd'];
echo$aa.”123″;
?>
修复范例：
<?php
$aa=$_GET['dd'];
echohtmlspecialchars($aa).”123″;
?>

B. 如何测试XSS漏洞

XSS跨站漏洞分为大致三种：储存型XSS，反射型XSS，和DOM型XSS，一般都是由于网站对用户输入的参数过滤不严格而调用浏览器的JS而产生的。XSS几乎每个网站都存在，google，网络，360等都存在，存在和危害范围广，危害安全性大。

具体利用的话：
储存型XSS，一般是构造一个比如说"<script>alert("XSS")</script>"的JS的弹窗代码进行测试，看是否提交后在页面弹窗，这种储存型XSS是被写入到页面当中的，如果管理员不处理，那么将永久存在，这种XSS攻击者可以通过留言等提交方式，把恶意代码植入到服务器网站上， 一般用于盗取COOKIE获取管理员的信息和权限。

反射型XSS，一般是在浏览器的输入栏也就是urlget请求那里输入XSS代码，例如：127.0.0.1/admin.php?key="><script>alert("xss")</script>，也是弹窗JS代码。当攻击者发送一个带有XSS代码的url参数给受害者，那么受害者可能会使自己的cookie被盗取或者“弹框“，这种XSS一次性使用，危害比储存型要小很多。

dom型：常用于挖掘，是因为api代码审计不严所产生的，这种dom的XSS弹窗可利用和危害性并不是很大，大多用于钓鱼。比起存储型和反射型，DOM型并不常用。

缺点：
1、耗时间
2、有一定几率不成功
3、没有相应的软件来完成自动化攻击
4、前期需要基本的html、js功底，后期需要扎实的html、js、actionscript2/3.0等语言的功底
5、是一种被动的攻击手法
6、对website有http-only、crossdomian.xml没有用

所以楼主如果想更加深层次的学习XSS的话，最好有扎实的前后端开发基础，还要学会代码审计等等。

推荐的话，书籍建议看看《白帽子讲web安全》，《XSS跨站脚本攻击剖析与防御》
一般配合的话，kalilinux里面的BEFF是个很着名的XSS漏洞利用工具，楼主有兴趣可以去看看。

纯手工打字，望楼主采纳。

C. 如何实现php的安全最大化怎样避免sql注入漏洞和xss跨站脚本攻击漏洞

使用php安全模式

服务器要做好管理，账号权限是否合理。

假定所有用户的输入都是“恶意”的，防止XSS攻击，譬如：对用户的输入输出做好必要的过滤

防止CSRF，表单设置隐藏域，post一个随机字符串到后台，可以有效防止跨站请求伪造。

文件上传，检查是否做好效验，要注意上传文件存储目录权限。

防御SQL注入。

避免SQL注入漏洞

1.使用预编译语句

2.使用安全的存储过程

3.检查输入数据的数据类型

4.从数据库自身的角度考虑，应该使用最小权限原则，不可使用root或dbowner的身份连接数据库。若多个应用使用同一个数据库，也应该为数据库分配不同的账户。web应用使用的数据库账户，不应该有创建自定义函数，操作本地文件的权限。

避免XSS跨站脚本攻击

1.假定所有用户输入都是“邪恶”的

2.考虑周全的正则表达式

3.为cookie设置HttpOnly,防止cookie劫持

4.外部js不一定可靠

5.出去不必要的HTML注释

6. 针对非法的HTML代码包括单双引号等，使用htmlspecialchars()函数。

D. 网站被百度安全联盟提示高危网站怎么办网站存在高危漏洞怎么办

你只要在你的网站上安装一个安全软件，杀一下毒再去网络联盟那里去弄一下。

1、高危漏洞
高危漏洞包括：SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞。
SQL注入漏洞：网站程序忽略了对输入字符串中包含的SQL语句的检查，使得包含的SQL语句被数据库误认为是合法的SQL指令而运行，导致数据库中各种敏感数据被盗取、更改或删除。
XSS跨站脚本漏洞：网站程序忽略了对输入字符串中（如<>'"<script><iframe>onload）特殊字符与字符串的检查，使得攻击者可以欺骗用户访问包含恶意javaScript代码的页面，使得恶意代码在用户浏览器中执行，从而导致目标用户权限被盗取或数据被篡改。
页面存在源代码泄露：页面存在源代码泄露,可能导致网站服务的关键逻辑、配置的账号密码泄露，攻击者利用该信息可以更容易得到网站权限，导致网站被黑。
网站存在备份文件：网站存在备份文件，例如数据库备份文件、网站源码备份文件等，攻击者利用该信息可以更容易得到网站权限，导致网站被黑。
网站存在包含SVN信息的文件：网站存在包含SVN信息的文件，这是网站源码的版本控制器私有文件，里面包含SVN服务的地址、提交的私有文件名、SVN用户名等信息，该信息有助于攻击者更全面了解网站的架构，为攻击者入侵网站提供帮助。
网站存在Resin任意文件读取漏洞：安装某些版本Resin服务器的网站存在可读取任意文件的漏洞，攻击者利用该漏洞可以读取网站服务器的任意文件内容，导致网站被黑。
2、中危漏洞
中危漏洞包括：网站存在目录浏览漏洞、网站存在PHPINFO文件、网站存在服务器环境探针文件、网站存在日志信息文件、网站存在JSP示例文件。
网站存在目录浏览漏洞：网站存在配置缺陷，存在目录可浏览漏洞，这会导致网站很多隐私文件与目录泄露，比如数据库备份文件、配置文件等，攻击者利用该信息可以更容易得到网站权限，导致网站被黑。
网站存在PHPINFO文件：网站存在PHPINFO文件，这个是PHP特有的信息文件，会导致网站的大量架构信息泄露，该信息有助于攻击者更全面了解网站的架构，为攻击者入侵网站提供帮助。
网站存在服务器环境探针文件：网站存在服务器环境探针文件，该文件会导致网站的大量架构信息泄露，该信息有助于攻击者更全面了解网站的架构，为攻击者入侵网站提供帮助。
网站存在日志信息文件：网站存在日志信息文件，该文件包含的错误信息会导致网站的一些架构信息泄露，该信息有助于攻击者更全面了解网站的架构，为攻击者入侵网站提供帮助。
网站存在JSP示例文件：网站存在JSP示例文件，该文件的弱口令会导致网站的大量架构信息泄露，该信息有助于攻击者更全面了解网站的架构，为攻击者入侵网站提供帮助。
3、低危漏洞
低危漏洞包括：页面上存在网站程序的调试信息、网站存在后台登录地址、网站存在服务端统计信息文件、网站存在敏感目录。
页面上存在网站程序的调试信息：页面上存在数据库信息，例如数据库名、数据库管理员名，该信息有助于攻击者更全面了解网站的架构，为攻击者入侵网站提供帮助。
网站存在后台登录地址：网站存在后台登录地址，攻击者经常使用这个地址进行网站的后台登陆，比如弱密码、表单绕过、暴力破解等，从而得到网站的权限。
网站存在服务端统计信息文件：网站存在服务端统计信息文件，该文件会导致网站的一些架构信息泄露，该信息有助于攻击者更全面了解网站的架构，为攻击者入侵网站提供帮助。

E. 最近网上流行的XSS是什么意思

最近网上流行的XSS是小学生的恶称，骂小学生的。

一是指某些人的想法、思维方式、对事物的认知和思考能力如孩子般幼稚、单纯、天真。

二是特指某类相对于同龄的人，在游戏竞技或者社交网络中， 态度傲慢、技术水准较差、拒绝与队友沟通、独断专行、忽视团队合作、甚至喜欢恶语相向的网游玩家。

三是指对没有接触过社会或社会经验不足。

(5)phpxss跨站脚本漏洞扩展阅读：

1、小学生技术菜，爱骂人，玻璃心（说他一句就挂机送人头，不管说什么，比如：中路的你不要再送了，然后他就说“我就送”，接着就开始了。）小学生的心思就像星空，摸不着猜不透。

2、大喷子（网络中对喜欢肆意谩骂、地域黑、招黑、互黑等网友的一种广泛性定义。），不分青红皂白就开喷。

3、说话不经过大脑考虑，以自我为中心，可能是在家被宠惯了。

4、没有接触过社会大家庭或接触社会经验不足。比如：参加工作，你要是不让新人上，永远都是新人。这也是小学生。

F. XSS攻击原理是什么

Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码，当用户浏览该页或者进行某些操作时，攻击者利用用户对原网站的信任，诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。
比如：攻击者在论坛中放一个看似安全的链接，骗取用户点击后，窃取cookie中的用户私密信息；或者攻击者在论坛中加一个恶意表单，当用户提交表单的时候，却把信息传送到攻击者的服务器中，而不是用户原本以为的信任站点。
诸如此类，唯一能完全杜绝xss攻击的方法，就是禁用script，img等，显然这是不靠谱的，用户需要丰富的页面内容；当然我们可以用一些方法预防xss攻击，尽量减少xss造成的危害。

XSS攻击的危害包括
盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号
控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力
盗窃企业重要的具有商业价值的资料
非法转账
强制发送电子邮件
网站挂马
控制受害者机器向其它网站发起攻击

G. 什么是phpinfo xss跨站脚本攻击漏洞

php是一款被广泛使用的编程语言，可以被嵌套在html里用做web程序开发。phpinfo()是用来显示当前php环境的一个函数，许多站点和程序都会将phpinfo放在自己的站点上或者在程序里显示，但是phpinfo里存在一些安全问题，导致精心构造数据就可以产生一个跨站脚本漏洞，可以被用来进行攻击。

漏洞成因： phpinfo页面对输入的参数都做了详细的过滤，但是没有对输出的进行charset的指定，而在一些浏览器里如IE7里，你可以让它自动选择编码或者通过一个iframe页面给它指定编码，这样就可以饶过phpinfo的过滤而产生一个跨站脚本漏洞。
漏洞来源: http://www.80sec.com/release/phpinfo-xss.txt
漏洞利用： 利用代码如下：

<html>
<head>
<META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=UTF-7">
</head>
<body>
<iframe src="http://www.80sec.com/phpinfo.php?+ADw-SCRIPT+AD4-alert(document.domain);+ADw-/SCRIPT+AD4-=1">

以上代码在IE7+php 5.2.6测试成功。phpinfo页面的xss甚至比其他页面更加危险，因为如果有phpinfo的存在，恶意攻击者可以利用phpinfo的输出bypass如httponly和一些基础认证。
漏洞影响： 影响所有版本的php和浏览器IE7
漏洞修补： 建议暂时删除站点的phpinfo页面避免被人利用。

H. 如何修复PHP跨站脚本攻击漏洞

你这截图上不是有方法么，检查后台的代码，将用户提交过来的信息进行htmlspecialchars（）后在操作数据。或者自己编写代码，将特殊符号进行正则匹配然后给替换掉。

I. 如何正确防御xss攻击

传统防御技术

2.1.1基于特征的防御

传统XSS防御多采用特征匹配方式，在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击，采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击。

2.1.2 基于代码修改的防御

和SQL注入防御一样，XSS攻击也是利用了Web页面的编写疏忽，所以还有一种方法就是从Web应用开发的角度来避免：

1、对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

2、实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

3、确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag(没有javascript)，去掉任何对远程内容的引用(尤其是样式表和javascript)，使用HTTP only的cookie。

当然，如上方法将会降低Web业务系统的可用性，用户仅能输入少量的制定字符，人与系统间的交互被降到极致，仅适用于信息发布型站点。

并且考虑到很少有Web编码人员受过正规的安全培训，很难做到完全避免页面中的XSS漏洞。

(9)phpxss跨站脚本漏洞扩展阅读：

XSS攻击的危害包括

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

受攻击事件

新浪微博XSS受攻击事件

2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。

大量用户自动发送诸如：

“郭美美事件的一些未注意到的细节”，“建党大业中穿帮地方”，“让女人心动的100句诗歌”，“这是传说中的神仙眷侣啊”等等微博和私信，并自动关注一位名为hellosamy的用户。

事件的经过线索如下：

20:14，开始有大量带V的认证用户中招转发蠕虫

20:30，某网站中的病毒页面无法访问

20:32，新浪微博中hellosamy用户无法访问

21:02，新浪漏洞修补完毕

网络贴吧xss攻击事件

2014年3月9晚，六安吧等几十个贴吧出现点击推广贴会自动转发等。并且吧友所关注的每个关注的贴吧都会转一遍，病毒循环发帖。并且导致吧务人员，和吧友被封禁。