XSS无关乎架构,在于程序员的安全意识51CTO博客 - 千亿集团

XSS无关乎架构,在于程序员的安全意识51CTO博客

2019年02月22日09时28分17秒 | 作者: 芷梦 | 标签: 程序员,安全意识,比方 | 浏览: 463

记住前次评论XSS是从输入防仍是从输出防,我的答复是从两方面防,但别的一点就是要考虑使用,一起需要按XSS呈现的状况分危险等级。我举了三个简略的比方

1.一个原本只需要整型的参数却答应传字符型在页面输出了XSS,这个就是BUG!

这个比方阐明的是程序员的安全意识问题,由于偷闲,输入和输出都没有严厉控制数据类型,假如你是程序员你要怎样修正这个缝隙呢,当然是输入和输出都给改咯。

一个很简略的逻辑:原本只答应输入数字的当地,你却能够输入字符,原本只答应输出数字的当地,你却能够输出字符。

于是乎碰到了这种状况,程序员现已对输入做约束了,某天又火急火燎的跑过来说网站被XSS了,细心一看,原本是数据库里存的老数据,而程序在输出时没有做处理,不可思议的又被XSS了。

2. 严厉控制输入的数据格局。

这儿能够参阅http://www.w3school.com.cn/php/php_ref_filter.asp

这是一套很好Filter函数,咱们能够教育程序员,你就把你表单里的值封装成严厉的数据格局匹配入库,从输入就根绝XSS,举个比方,你表单里只让你填EMAIL格局的字符串,什么时候答应让你进< >’ “这样的元字符了。

3.一个XSS呈现在网站使用不同的当地代表着不同的危险等级。

比方XSS缝隙呈现的当地究竟存不存在身份认证,***是不是真实能够偷你的COOKIE,假造会话?XSS缝隙呈现的当地事务重不重要?程序员关于报上来的XSS缝隙是很不屑的,你就一个一个数,一个一个挖吧,咱们很不幸做苦力的。当然XSS并不能以网站事务的重要性直接就给它定性,但咱们至少能够排一个优先级。

最终想说的是我举的这三个比方想阐明的是程序员的安全意识很重要,任你牛B哄哄,花拳绣腿,XSS缝隙在程序员的眼里只要输入和输出。我的说法只代表一家之说,欢迎评论。

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表千亿集团立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章