网站体检之xss攻击

zodream 编程技术 2020年06月

今天突然想到，虽然sql 注入不了（因为所有前台参数是使用pdo 自带的过滤，比起自己造的过滤器好多了），但是xss 攻击还是有可能的

注册表单检查

用户名注入

在用户名填入以下字符，

<script>alert(1);</script>

注册成功后，立马显示弹出框，可以注入

解决：直接对用户名保存进行转换

标题可以 xss 攻击

主要原因：面包屑没有做转换

解决：对标签保存前进行转换

解决：在保存前进行转换

调用方法即可

(new Parsedown())->setSafeMode(true)

点击查看全文

0 208

我们的网站会使用一些 Cookie 并记录您的 IP 地址，用于访问、安全和管理您对网络的访问。您可以通过更改浏览器设置来禁用数据收集和 Cookie，但这可能会影响本网站的功能。了解更多

必要的

默认激活

基本 Cookie 对于网站的正常运行绝对必要。这些 Cookie 是匿名的，用于确保网站的基本功能和安全特性。

Cookie	有效期	说明
cookie_policy	11个月	Cookie 插件设置 Cookie 的目的是存储用户对使用 Cookie 的同意；它不会存储任何个人数据。
PHPSESSID	11个月	用于绑定用户登录凭证的 Cookie 标识
XSRF-TOKEN	11个月	用于防止跨站脚本攻击的 Cookie 标识

功能要求

功能性 Cookie 有助于执行某些功能，例如在社交媒体平台上共享网站内容、收集反馈和其他第三方功能。

性能要求

性能 Cookie 用于了解和分析网站的主要性能指标，这有助于为访问者提供更好的用户体验。

分析要求

分析 Cookie 用于了解访问者如何与网站互动。这些 Cookie 有助于提供有关访问者数量、跳出率、流量来源等指标的信息。

广告要求

广告 Cookie 用于为访问者提供相关的广告和营销活动。这些 Cookie 跨网站跟踪访问者并收集信息以提供定制广告。

其他要求

其他未分类的 Cookie 是那些正在分析但尚未分类的 Cookie。