网站漏洞说明

广告：阿里云采购优惠专区

1.跨站脚本漏洞

http://demo.53bk.com/search?sort=date"><\scriptb >alert(10547)<\/script>

漏洞危害

1、获取其他用户Cookie中的敏感数据

2、屏蔽页面特定信息

3、伪造页面信息

4、拒绝服务攻击

5、突破外网内网不同安全设置

6、与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等

漏洞描述

跨站脚本攻击是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式

解决方案

过滤客户端提交的危险字符，客户端提交方式包含GET、POST、COOKIE、User_Agent、Referer、Accept_Language等

2.框架注入

http://demo.53bk.com/search?sort=date*/--%3E27%22);%3E%3C/iframe%3E%3C/script%3E%3C/style%3E%3C/title%3E%3C/textarea%3E%3Ciframe%20src=http://www.dbappsecurity.com.cn%3E%

漏洞危害：

框架注入攻击是针对ie5、ie6、ie7攻击的一种。这种攻击导致ie不检查结果框架的目的网站，因而充许任意代码像javascript或者vbscript跨框架存取。这种攻击也发生在代码透过多框架注入。肇因于脚本并不确认来自多框架的输入。这种其他形式的框架注入会影响所有的不确认不受信任输入的各厂商浏览器和脚本。

框架注入攻击是所有基于GUI的浏览器的攻击，它包括任何代码如：javascript，vbscript(Activx),flash，Ajax（html+js+py)。代码被注入是由于脚本没有对它们正确验证。

解决方案：在每个基本的框架名称后附加用户的会话令牌，如：Main_display。

3. 用户凭证信息以明文发送

http://demo.53bk.com/admin

漏洞危害：输入的用户名和登录密码明文传输，有可能中途被人拦截，获取敏感信息。

常规网站登录注册模板，用户输入的用户名和密码明文传输

解决方案：用户凭证信息以加密发送

广告：阿里云新人采购专场