1.跨站腳本漏洞

http://demo.53bk.com/search?sort=date"><\scriptb >alert(10547)<\/script>

漏洞危害

1、獲取其他用戶Cookie中的敏感數(shù)據(jù)

2、屏蔽頁面特定信息

3、偽造頁面信息

4、拒絕服務(wù)攻擊

5、突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置

6、與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等

漏洞描述

跨站腳本攻擊是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進(jìn)行某種動作或者對訪問者進(jìn)行病毒侵害的一種攻擊方式

解決方案

過濾客戶端提交的危險字符，客戶端提交方式包含GET、POST、COOKIE、User_Agent、Referer、Accept_Language等

2.框架注入

http://demo.53bk.com/search?sort=date*/--%3E27%22);%3E%3C/iframe%3E%3C/script%3E%3C/style%3E%3C/title%3E%3C/textarea%3E%3Ciframe%20src=http://www.dbappsecurity.com.cn%3E%

漏洞危害：

框架注入攻擊是針對ie5、ie6、ie7攻擊的一種。這種攻擊導(dǎo)致ie不檢查結(jié)果框架的目的網(wǎng)站，因而充許任意代碼像javascript或者vbscript跨框架存取。這種攻擊也發(fā)生在代碼透過多框架注入。肇因于腳本并不確認(rèn)來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認(rèn)不受信任輸入的各廠商瀏覽器和腳本。

框架注入攻擊是所有基于GUI的瀏覽器的攻擊，它包括任何代碼如：javascript，vbscript(Activx),flash，Ajax（html+js+py)。代碼被注入是由于腳本沒有對它們正確驗證。

解決方案：在每個基本的框架名稱后附加用戶的會話令牌，如：Main_display。

3. 用戶憑證信息以明文發(fā)送

http://demo.53bk.com/admin

漏洞危害：輸入的用戶名和登錄密碼明文傳輸，有可能中途被人攔截，獲取敏感信息。

常規(guī)網(wǎng)站登錄注冊模板，用戶輸入的用戶名和密碼明文傳輸

解決方案：用戶憑證信息以加密發(fā)送