thinkphp等框架开发中容易忽略的xss攻击

最新推荐文章于 2024-06-17 10:26:25 发布
最新推荐文章于 2024-06-17 10:26:25 发布
阅读量5k 收藏
点赞数
分类专栏: PHP技术

虽然说现在的web开发框架都是挺成熟的框架,在性能、安全等方面都有比较好的表现,但问题往往出现在业务逻辑上,如上周我再公司发现的一个跨站脚本攻击,(通常公司是这么过滤的,max(0,$_GET[‘a’])、strip_tags($_GET[‘a’]),然而代码量大的话,就容易出现忽略的地方)
如下面一段代码:

 
 
  1.  <script>
  2. (function(){
  3.  var a = {:$_GET['b']}; 
  4.  //.... 
  5. })()
  6. </script>

如果把接收的参数写成:””;alert(document.cookie);//,那么攻击就成功了,
有了这个漏洞之后如何利用,首先构造一个获取cookie然后跳转到指定服务器进行进行信息收集,然后再跳转回一个不易被怀疑的页面(但如果要做的事比较多,脚本比较多怎么办,
像当年新浪的xss一样,引入js脚本)。有没有更高级的做法,答案是有的,用jsonp就不用跳转了,这个我没有试验,另外还有一种方式,就是把链接生成二维码,
通过扫描二维码的方式也不易被发现,所以大家没事不要随便扫二维码,不要以为在微信中就认为链接不可见,get到链接的方法就是分享页面给自己,然后通过邮件转发就能看到链接.
优缺点:
优点:
效率高
缺点:
不便于维护,缺乏安全性
解决方案:

  1. 使用全局过滤
  2. 要求使用统一的函数进行参数接收,就算不用I函数也可以自定义一个函数
  3. 添加验证码等操作

如何减少攻击带来的损失:

  • 在一个web项目里,由于多人合作,不一定能每一个细节都做的很好,所以
  • cookie启用httponly属性,thinkphp里似乎要3.2.3版本才有,没有也没关系,可以自己加上,在新版本的thinkphp找到cookie函数,跟旧版本的对比下就知道了,另外
    需要在配置里配置’COOKIE_HTTPONLY’ => true,这个可以在大部分浏览器保证cookie不被偷走

bug终结者
你以为这样就完了吗,往下看:
thinkphp(3.2.3core版测试,默认过滤’DEFAULT_FILTER’=>’htmlspecialchars’,)里I函数也无能为力的地方就是
不过滤单引号

 
 
  1.  
  2. (function(){
  3.  var a = '{:$_GET["b"]}';
  4.  var b = '{:I("b")}';//变量输入 ';alert(document.cookie);//
  5.  console.log(a);
  6.  console.log(b);
  7.  
  8. })()

这种情况I函数也帮不了你,最后,使用统一的过滤函数,并且注意I函数单引号的问题

天狗追月
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thinkphp_5开发框架
04-23
ThinkPHP_5注重安全性,提供了防止SQL注入、XSS攻击等的安全措施。同时,框架内置的验证类可以方便地进行表单数据校验,确保输入的有效性。 总结,ThinkPHP_5.0_RC2是一个强大且成熟的PHP开发框架,它为开发者提供...
thinkphp框架
07-09
6. 安全性:框架内置了防止SQL注入、XSS攻击的安全防护措施,同时提供了输入验证、输出过滤等功能,确保应用的安全性。 7. 扩展性:ThinkPHP的`extend`目录用于存放自定义扩展类库,开发者可以根据项目需求创建自己...
Thinkphp3.2.3的I方法的了解
https://www.cnblogs.com/zpchcbd/
06-16 1457
/** * 获取输入参数 支持过滤和默认值 * 使用方法: * <code> * I('id',0); 获取id参数 自动判断get或者post * I('post.name','','htmlspecialchars'); 获取$_POST['name'] * I('get.'); 获取$_GET * </code> * @param string $na...
thinkphp 3.1模板xss漏洞修复
梁吉林的博客
03-07 2064
/Tpl/think_exception.tpl模板文件,隐藏有一个xss可攻击漏洞,具体如下:[ <A HREF="<?php echo(strip_tags($_SERVER['PHP_SELF'],ENT_QUOTES))?>">重试</A> ]修复此漏洞:[ <A HREF="<?php echo(strip_tags(htmlspecialchars($_SERVER['PHP_SELF'
ThinkPHP 的老漏洞仍然被攻击者钟情
最新发布
FreeBuf_的博客
06-17 850
尽管攻击者已经了解这些漏洞很久很久,但仍然在继续使用并且能够攻击成功。这凸显了组织在识别易受攻击资产和升级补丁管理上,持续面临巨大挑战。研究人员发现并非所有的受害者都使用了 ThinkPHP,攻击者可能不加区分进行了广泛的攻击。攻击者一方面对恶意脚本进行了混淆处理,另一方面也有很低级技术的表现,这二者十分割裂。当然,攻击技术先进并不代表着背后的攻击者也很熟练。
ThinkPHP3.2.3 框架实现安全数据库操作分析
Fly_鹏程万里
12-11 961
0x01 前言 ThinkPHP框架是当前国内最流行的PHP框架之一,虽然TP3.2.3这个版本和国外的开源框架还是有一定距离,但是人家教程多,用户量多,文文档写得奇的优点,现在工作的公司用的是thinkphp3.2框架进行开发,TP框架为我们开发者提供了底层的安全过滤功能,所以我在使用TP框架开发的时候并没有很仔细的去想过安全的问题,而最近也是挤出了一点时间,想知道TP框架底层是如何运作的,...
ThinkphpXSS跨站脚本攻击漏洞
美奇软件开发工作室
05-12 2134
XSS(Cross Site Scripting, 跨站脚本攻击), 在 Web攻击比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如 可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等。上面那段黑客的xss脚本代码,主要是为了获取网站cookie,然后实现匿名访问。
XSS跨站脚本-案例详解
我乐了的博客
01-30 1207
在这些常见的Web 漏洞XSS(Cross-site Script,跨站脚本)漏洞无疑是最多见的。根据 HackerOne 漏洞奖励平台发布的,XSS 漏洞类型占所有报告漏洞的 23%,排名第一。图 1:HackerOne 平台上报告的漏洞类型占比。
ThinkPHP5.0.24完整版
03-14
ThinkPHP5.0.24是一款基于PHP7的高性能、轻量级的PHP框架,它以其强大的功能、简洁的代码和高效的开发效率在PHP开发领域备受青睐。本文将深入探讨这个版本的核心特性、设计理念以及实际应用的关键知识点。 1. **...
ThinkPHP3.2.4完整版
12-26
ThinkPHP3.2.4注重安全性,提供了防止SQL注入、XSS攻击的防护措施,同时支持CSRF(跨站请求伪造)防护,确保应用的安全运行。 五、优化与性能 通过缓存机制、数据库连接池、路由优化等方式,ThinkPHP3.2.4提升了...
基于tp6开发的选股收益结算系统
06-03
【基于tp6开发的选股收益结算系统】是一个利用ThinkPHP6框架构建的高效能、高效率的金融投资分析工具。该系统旨在为投资者提供精确的股票选择和收益结算功能,帮助用户更好地理解其投资组合的表现。 **ThinkPHP6...
XSS 跨站脚本攻击及防范
09-07
XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶 意html 代码,当用户浏览该页之时,嵌入其Web 里面的html 代码会被执行,从而 达到恶意用户的特殊目的。本文介绍了该攻击方式,并给出了一些防范措施。
ThinkPHP实战02——《ThinkPHP3.2.3 实战个人博客》笔记——引入ThinkPHP
tongbiaos的博客
08-20 5453
课程来源:《ThinkPHP3.2.3 实战个人博客视频第一季》 1.ThinkPHP文件目录 到ThinkPHP官网上下载的thinkphp_3.2.3_full.zip,其目录结构如下:     2.引入ThinkPHP (1)将ThinkPHP文件夹复制到网站根目录下,在网站根目录创建一个项目文件夹article。   (2)我们这里使用subline text作为我们的
XSS(跨站脚本攻击)详解
hello
07-02 3934
XSS简述-XSS类型-XSS常用标签
ThinkPHP3.2.3的SQL注入漏洞的复现——考古?
Mrs_H的博客
11-11 1349
这里写目录标题关于ThinkPHP的SQL注入漏洞一.前言二.正文1.数据处理流程2.注入点一,数组注入3.注入点二,exp注入后记 关于ThinkPHP的SQL注入漏洞 一.前言 最近拖延症又犯难了,导致很久都没有时间来写这个文章。而且因为一些奇怪的缘故,导致自己的MySQL数据库间崩了好几次,导致这次的漏洞复现磕磕绊绊的。同时这也是我自己第一次做代码审计,效率着实算不上高,就以此来记录一下自己这次的学习(考古)过程吧。 二.正文 1.数据处理流程 环境搭建方面,就用thinkphp官网上的历史遗留版本
TP框架全局过虑空格
wbj16116的博客
09-18 743
在config.php ‘default_filter’ => ‘htmlspecialchars,trim’, //可加入多种过虑方法、 trim就是过虑所有input的空格
【PHP】分享一个基于ThinkPHP3.2获取前端数据,并且过滤
weixin_42270087的博客
03-27 1589
在使用tp3的时候,常常用到对于前端传过来的数据进行验证,但tp3这又在model里才会有数据验证层,没有像tp5那样有一个用于作为验证的验证层,所以我写了一个公共函数,用于tp3的数据验证。 //例子 <?php //数组第一个参数为提示语,第二个为规则 $rule['name'] = array('姓名不能为空|姓名必须多余5个字符', 'isRequire|minLength:5)...
xss攻击 php,ThinkPHP防止XSS攻击的方法
weixin_32887779的博客
03-10 324
本篇文章介绍了设置TP防止XSS攻击的方法,希望对学习ThinkPHP的朋友有帮助!ThinkPHP防止XSS攻击的方法1 如果您的项目没有富文本编辑器 然后就可以使用全局过滤方法 在application下面的config配置文件 加上 htmlspecialchars// 默认全局过滤方法 用逗号分隔多个'default_filter' => 'htmlspecialchars',如果有...
php防止xss攻击和sql注入
dw5235的博客
04-08 1223
1、防止xss攻击 1、开启COOKIE_HTTPONLY = true ;//tp3.2 2、default_filter:设置为htmlspecialchars 百度官方方法: 和SQL注入防御一样,XSS攻击也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免: 步骤1、对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、P...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值