我做的网站被漏洞检测说是有什么xss跨站脚本漏洞，怎么修复啊，哪位大侠帮看看！！

你这个页面我没看出来有xss啊，倒是有可能有sql注入漏洞。Title变量要过滤一下啊，要不用户可能会修改Title的内容，比如插入一个单引号，后面跟上自己的sql语句，这样会导致查到一些不该看到的数据库内容，引发注入漏洞。所以，要过滤一些用户提交的数据，把特殊字符全滤掉，百度一些啊asp防注入，有源码的。

xss，假设我是攻击者，我把提交数据的一个变量修改为‘aaaaaaaaaaaa’（post或则get提交的都可以，因为你是request接收的），然后看页面中回显‘aaaaaaaaaaaa’的位置。如果出现了，我可以尝试修改一下加入“”等，破坏掉你的html结构，如果可以破坏，那么我就可以插入javascript代码“script src=.../script”。盗取用户的cookies（所以cookies更好只用httponly），结合beef甚至操作用户的浏览器（权限和功能很低的，别想多了）。

综上所述，你写源码时，必须要检查所有用户可以修改和提交的数据（包括cookies等http头里面的），然后在输出点做好编码。输入与输出控制好了可以减免很多麻烦。

还可以使用安全宝、知道创于等公司提供的云waf服务，这样用户提交的数据会由他们检测，并且给你做好了cdn加速。注意的是，不要把你真实的ip暴露在网上。有的人只做www.test.com的解析，没有做test.com的解析，导致真实ip暴露在网上。

或者使用一些开源的cms，asp的我不了解，php的我知道有wordpress，代码写的很不错了，只要你定期更新版本，不乱下载一些插件（插件都是别人提交的，编程水平不一定很好所以），一般不会出什么大的漏洞。插件也要定期更新。

防止旁站，找主机服务商时要注意（找大的和好的），亚马逊这样的，每个站的权限都是控制的很死的，所以很难提权。

至于社工，安全是一种意识，慢慢培养吧。我了解的就这些了，希望能对你有帮助。

XSS跨站脚本漏洞怎样修复

尝试过滤参数，对用户输出进行转义或者过滤。一般/\^"'这些如果不需要都过滤一遍，其对应的转义也记得过滤一下，安全性就会提高吧。

我水平有限。这是我当前水平下可以做出的回答。

XSS安全漏洞的几种修复方式

打开腾讯电脑管家——工具箱——修复漏洞，进行漏洞扫描和修复。

建议设置开启自动修复漏洞功能，开启后，电脑管家可以在发现高危漏洞（仅包括高危漏洞，不包括其它漏洞）时，之一时间自动进行修复，无需用户参与，更大程度保证用户电脑安全。尤其适合老人、小孩或计算机初级水平用户使用。开启方式如下：进入电脑管家“修复漏洞”模块—“设置”，点击开启自动修复漏洞即可。

求助：ASP跨站攻击漏洞（XSS）修复 *** 。

字段值=server.HTMLEncode(rs("字段"))

或

字段值=安全检测模块("字段")

另外，用SESSION代替COOKIE会更好

SQL语中不要直接代入COOKIE，应该先处理

如： "select * from 表 where 字段 = '"request.Cookies(名1)(名2)"'"

这是不安全的，应该改为：

"select * from 表 where 字段='" 安全检测模块(request.Cookies(名1)(名2)) "'"

xss注入漏洞产生的原因？xss注入过程步骤是什么？防范xss注入的 *** 有哪些

对于的用户输入中出现XSS漏洞的问题，主要是由于开发人员对XSS了解不足，安全的意识不够造成的。现在让我们来普及一下XSS的一些常识，以后在开发的时候，每当有用户输入的内容时，都要加倍小心。请记住两条原则：过滤输入和转义输出。

一、什么是XSS

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常呼略其危害性。

在WEB2.0时代，强调的是互动，使得用户输入信息的机会大增，在这个情况下，我们作为开发者，在开发的时候，要提高警惕。

二、XSS攻击的主要途径

XSS攻击 *** 只是利用HTML的属性，作各种的尝试，找出注入的 *** 。现在对三种主要方式进行分析。

之一种：对普通的用户输入，页面原样内容输出。

打开http://go.ent.163.com/goproducttest/test.jsp(限公司IP)，输 入：scriptalert(‘xss’)/script， *** 脚本顺利执行。当攻击者找到这种 *** 后，就可以传播这种链接格式的链接 （http://go.ent.163.com/goproducttest/test.jsp?key= *** CODE）如：http: //go.ent.163.com/goproducttest/test.jsp?key=scriptalert(‘xss’) lt;/script，并对 *** CODE做适当伪装，如：

http://go.ent.163.com/goproducttest/test.jsp?key=%3c%73%63%72%69%70 %74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,当其 它用户当点此链接的时候， *** 就运行了，造成的后果会很严重，如跳去一个有木马的页面、取得登陆用户的COOKIE等。

第二种：在代码区里有用户输入的内容

原则就是，代码区中，绝对不应含有用户输入的东西。

第三种：允许用户输入HTML标签的页面。

用户可以提交一些自定义的HTML代码，这种情况是最危险的。因为，IE浏览器默认采用的是UNICODE编码，HTML编码可以用ASCII方式来写，又可以使用”/”连接16进制字符串来写，使得过滤变得异常复杂，如下面的四个例子，都可以在IE中运行。

1，直接使用 *** 脚本。

img src=”javascript:alert(‘xss’)” /

2，对 *** 脚本进行转码。

img src=”javascript:alert(‘xss’)” /

3，利用标签的触发条件插入代码并进行转码。

img onerror=”alert(‘xss’)” /

4，使用16进制来写(可以在傲游中运行)

img STYLE=”background-image: /75/72/6c/28/6a/61/76/61/73/63/72/69/70/74/3a/61/6c/65/72/74/28/27/58/53/53/27/29/29″

以上写法等于img STYLE=”background-image: url(javascript:alert(‘XSS’))”

三、XSS攻击解决办法

请记住两条原则：过滤输入和转义输出。

具体执行的方式有以下几点：

之一、在输入方面对所有用户提交内容进行可靠的输入验证，提交内容包括URL、查询关键字、http头、post数据等

第二、在输出方面，在用户输内容中使用XMP标签。标签内的内容不会解释，直接显示。

第三、严格执行字符输入字数控制。

四、在脚本执行区中，应绝无用户输入。

xss漏洞如何防御?

1、基于特征的防御。XSS漏洞和著名的SQL注入漏洞一样，都是利用了Web页面的编写不完善，所以每一个漏洞所利用和针对的弱点都不尽相同，这就是给XSS漏洞防御带来的困难，不可能以单一特征来概括所有XSS攻击。

传统的XSS防御在进行攻击鉴别时多采用特征匹配方式，主要是针对JavaScript这个关键词进行检索，但是这种鉴别不够灵活，凡是提交的信息中各有JavaScript时，就被硬性的判定为XSS攻击。

2、基于代码修改的防御。Web页面开发者在编写程序时往往会出现一些失误或漏洞，XSS攻击正是利用了失误和漏洞，因此一种比较理想的 *** 就是通过优化Web应用开发来减少漏洞，避免被攻击：

①用户向服务器上提交的信息要对URL和附带的HTTP头、POST数据等进行查询，对不是规定格式、长度的内容进行过滤。

②实现Session标记、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

③确认接收的内容被妥善的规范化，仅包含最小的、安全的Tag，去掉任何对远程内容的引用，使用HTTP only的cookie。

3、客户端分层防御策略。客户端跨站脚本攻击的分层防御策略是基于独立分配线程和分层防御策略的安全模型。它建立在客户端，这是它与其他模型更大的区别。之所以客户端安全性如此重要，客户端在接受服务器信息，选择性的执行相关内容。这样就可以使防御XSS攻击变得容易，该模型主要由三大部分组成：

①对每一个网页分配独立线程且分析资源消耗的网页线程分析模块;

②包含分层防御策略四个规则的用户输入分析模块;

③保存互联网上有关XSS恶意网站信息的XSS信息数据库。

找人修复ASP网站XSS漏洞

Web开发常见的几个漏洞解决 ***

平时工作，多数是开发Web项目，由于一般是开发内部使用的业务系统，所以对于安全性一般不是看的很重，基本上由于是内网系统，一般也很少会受到攻击，但有时候一些系统平台，需要外网也要使用，这种情况下，各方面的安全性就要求比较高了，所以往往会交付给一些专门做安全测试的第三方机构进行测试，然后根据反馈的漏洞进行修复，如果你平常对于一些安全漏洞不够了解，那么反馈的结果往往是很残酷的，迫使你必须在很多细节上进行修复完善。本文主要根据本人项目的一些第三方安全测试结果，以及本人针对这些漏洞问题的修复方案，介绍在这方面的一些经验，希望对大家有帮助。

基本上，参加的安全测试（渗透测试）的网站，可能或多或少存在下面几个漏洞：SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件/文件夹漏洞、系统敏感信息泄露。

1、测试的步骤及内容

这些安全性测试，据了解一般是先收集数据，然后进行相关的渗透测试工作，获取到网站或者系统的一些敏感数据，从而可能达到控制或者破坏系统的目的。

之一步是信息收集，收集如IP地址、DNS记录、软件版本信息、IP段等信息。可以采用 *** 有：

1）基本 *** 信息获取；

2）Ping目标 *** 得到IP地址和TTL等信息；

3）Tcptraceroute和Traceroute 的结果；

4）Whois结果；

5）Netcraft获取目标可能存在的域名、Web及服务器信息；

6）Curl获取目标Web基本信息；

7）Nmap对网站进行端口扫描并判断操作系统类型；

8）Google、Yahoo、Baidu等搜索引擎获取目标信息；

9）FWtester 、Hping3 等工具进行防火墙规则探测；

10）其他。

第二步是进行渗透测试，根据前面获取到的数据，进一步获取网站敏感数据。此阶段如果成功的话，可能获得普通权限。采用 *** 会有有下面几种

1）常规漏洞扫描和采用商用软件进行检查；

2）结合使用ISS与Nessus等商用或免费的扫描工具进行漏洞扫描；

3）采用SolarWinds对 *** 设备等进行搜索发现；

4）采用Nikto、Webinspect等软件对Web常见漏洞进行扫描；

5）采用如AppDetectiv之类的商用软件对数据库进行扫描分析；

6）对Web和数据库应用进行分析；

7）采用WebProxy、SPIKEProxy、Webscarab、ParosProxy、Absinthe等工具进行分析；

8）用Ethereal抓包协助分析；

9）用Webscan、Fuzzer进行SQL注入和XSS漏洞初步分析；

10）手工检测SQL注入和XSS漏洞；

11）采用类似OScanner的工具对数据库进行分析；

12）基于通用设备、数据库、操作系统和应用的攻击；采用各种公开及私有的缓冲区溢出程序代码，也采用诸如MetasploitFramework 之类的利用程序 *** 。

13）基于应用的攻击。基于Web、数据库或特定的B/S或C/S结构的 *** 应用程序存在的弱点进行攻击。

14）口令猜解技术。进行口令猜解可以采用 X-Scan、Brutus、Hydra、溯雪等工具。

第三步就是尝试由普通权限提升为管理员权限，获得对系统的完全控制权。在时间许可的情况下，必要时从之一阶段重新进行。采用 ***

1）口令嗅探与键盘记录。嗅探、键盘记录、木马等软件，功能简单，但要求不被防病毒软件发觉，因此通常需要自行开发或修改。

2）口令破解。有许多著名的口令破解软件，如 L0phtCrack、John the Ripper、Cain 等

以上一些是他们测试的步骤，不过我们不一定要关注这些过程性的东西，我们可能对他们反馈的结果更关注，因为可能会爆发很多安全漏洞等着我们去修复的。

2、SQL注入漏洞的出现和修复

1）SQL注入定义：

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

SQL注入有时候，在地址参数输入，或者控件输入都有可能进行。如在链接后加入’号，页面报错，并暴露出网站的物理路径在很多时候，很常见，当然如果关闭了Web.Config的CustomErrors的时候，可能就不会看到。

另外，Sql注入是很常见的一个攻击，因此，如果对页面参数的转换或者没有经过处理，直接把数据丢给Sql语句去执行，那么可能就会暴露敏感的信息给对方了。如下面两个页面可能就会被添加注入攻击。

①http://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestD ... type='U' and status0)0 得到之一个用户建立表的名称，并与整数进行比较，显然abc.asp工作异常，但在异常中却可以发现表的名称。假设发现的表名是xyz，则

②http://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestDB.dbo.sysobjects ... tatus0 and name not in('xyz'))0 可以得到第二个用户建立的表的名称，同理就可得到所有用建立的表的名称。

为了屏蔽危险Sql语句的执行，可能需要对进行严格的转换，例如如果是整形的，就严格把它转换为整数，然后在操作，这样可以避免一些潜在的危险，另外对构造的sql语句必须进行Sql注入语句的过滤，如我的框架（Winform开发框架、Web开发框架等）里面就内置了对这些有害的语句和符号进行清除工作，由于是在基类进行了过滤，因此基本上子类都不用关心也可以避免了这些常规的攻击了。

/// summary

/// 验证是否存在注入代码(条件语句）

/// /summary

/// param name="inputData"/param

public bool HasInjectionData(string inputData)

if (string.IsNullOrEmpty(inputData))

return false;

//里面定义恶意字符 ***

//验证inputData是否包含恶意 ***

if (Regex.IsMatch(inputData.ToLower(), GetRegexString()))

return true;

else

return false;

/// summary

/// 获取正则表达式

/// /summary

/// returns/returns

private static string GetRegexString()

//构造SQL的注入关键字符

string[] strBadChar =

//"select\\s",

//"from\\s",

"insert\\s",

"delete\\s",

"update\\s",

"drop\\s",

"truncate\\s",

"exec\\s",

"count\\(",

"declare\\s",

"asc\\(",

"mid\\(",

"char\\(",

"net user",

"xp_cmdshell",

"/add\\s",

"exec master.dbo.xp_cmdshell",

"net localgroup administrators"

//构造正则表达式

string str_Regex = ".*(";

for (int i = 0; i strBadChar.Length - 1; i++)

str_Regex += strBadChar[i] + "|";

str_Regex += strBadChar[strBadChar.Length - 1] + ").*";

return str_Regex;

上面的语句用于判别常规的Sql攻击字符，我在数据库操作的基类里面，只需要判别即可，如下面的一个根据条件语句查找数据库记录的函数。

/// summary

/// 根据条件查询数据库,并返回对象 ***

/// /summary

/// param name="condition"查询的条件/param

/// param name="orderBy"自定义排序语句，如Order By Name Desc；如不指定，则使用默认排序/param

/// param name="paramList"参数列表/param

/// returns指定对象的 *** /returns

public virtual ListT Find(string condition, string orderBy, IDbDataParameter[] paramList)

if (HasInjectionData(condition))

LogTextHelper.Error(string.Format("检测出SQL注入的恶意数据, {0}", condition));

throw new Exception("检测出SQL注入的恶意数据");

以上只是防止Sql攻击的一个方面，还有就是坚持使用参数化的方式进行赋值，这样很大程度上减少可能受到SQL注入攻击。

Database db = CreateDatabase();

DbCommand command = db.GetSqlStringCommand(sql);

command.Parameters.AddRange(param);

3、跨站脚本攻击漏洞出现和修复

跨站脚本攻击，又称XSS代码攻击，也是一种常见的脚本注入攻击。例如在下面的界面上，很多输入框是可以随意输入内容的，特别是一些文本编辑框里面，可以输入例如scriptalert('这是一个页面弹出警告');/script这样的内容，如果在一些首页出现很多这样内容，而又不经过处理，那么页面就不断的弹框，更有甚者，在里面执行一个无限循环的脚本函数，直到页面耗尽资源为止，类似这样的攻击都是很常见的，所以我们如果是在外网或者很有危险的 *** 上发布程序，一般都需要对这些问题进行修复。

XSS代码攻击还可能会窃取或操纵客户会话和 Cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

[建议措施]

清理用户输入，并过滤出 JavaScript 代码。我们建议您过滤下列字符：

[1] （尖括号）

[2] "（引号）

[3] '（单引号）

[4] %（百分比符号）

[5] ;（分号）

[6] ()（括号）

[7] （ 符号）

[8] +（加号）

为了避免上述的XSS代码攻击，解决办法是可以使用HttpUitility的HtmlEncode或者更好使用微软发布的AntiXSSLibrary进行处理，这个更安全。

微软反跨站脚本库（AntiXSSLibrary）是一种编码库，旨在帮助保护开发人员保护他们的基于Web的应用不被XSS攻击。

编码 ***

使用场景

示例

HtmlEncode(String)

不受信任的HTML代码。 a href=”http://www.cnblogs.com”Click Here [不受信任的输入]/a

HtmlAttributeEncode(String)

不受信任的HTML属性

hr noshade size=[不受信任的输入]

JavaScriptEncode(String)

不受信任的输入在JavaScript中使用

script type=”text/javascript”

[Untrusted input]

/script

UrlEncode(String)

不受信任的URL

a href=”http://cnblogs.com/results.aspx?q=[Untrusted input]”Cnblogs.com/a

VisualBasicScriptEncode(String)

不受信任的输入在VBScript中使用

script type=”text/vbscript” language=”vbscript”

[Untrusted input]

/script

XmlEncode(String)

不受信任的输入用于XML输出

xml_tag[Untrusted input]/xml_tag

XmlAttributeEncode(String)

不 受信任的输入用作XML属性

xml_tag attribute=[Untrusted input]Some Text/xml_tag

protected void Page_Load(object sender, EventArgs e)

this.lblName.Text = Encoder.HtmlEncode("scriptalert('OK');/SCRIPT");

例如上面的内容，赋值给一个Lable控件，不会出现弹框的操作。

但是，我们虽然显示的时候设置了转义，输入如果要限制它们怎么办呢，也是使用AntiXSSLibrary里面的HtmlSanitizationLibrary类库Sanitizer.GetSafeHtmlFragment即可。

protected void btnPost_Click(object sender, EventArgs e)

this.lblName.Text = Sanitizer.GetSafeHtmlFragment(txtName.Text);

这样对于特殊脚本的内容，会自动剔除过滤，而不会记录了，从而达到我们想要的目的。

4、IIS短文件/文件夹漏洞出现和修复

通过猜解，可能会得出一些重要的网页文件地址，如可能在/Pages/Security/下存在UserList.aspx和MenuList.aspx文件。

[建议措施]

1）禁止url中使用“~”或它的Unicode编码。

2）关闭windows的8.3格式功能。

修复可以参考下面的做法，或者找相关运维部门进行处理即可。

http://sebug.net/vuldb/ssvid-60252

http://webscan.360.cn/vul/view/vulid/1020

http://www.bitscn.com/network/security/200607/36285.html

5、系统敏感信息泄露出现和修复

如果页面继承一般的page，而没有进行Session判断，那么可能会被攻击者获取到页面地址，进而获取到例如用户名等重要数据的。

一般避免这种方式是对于一些需要登录才能访问到的页面，一定要进行Session判断，可能很容易给漏掉了。如我在Web框架里面，就是继承一个BasePage，BasePage 统一对页面进行一个登录判断。

public partial class UserList : BasePage

protected void Page_Load(object sender, EventArgs e)

/// summary

/// BasePage 集成自权限基础抽象类FPage，其他页面则集成自BasePage

/// /summary

public class BasePage : FPage

/// summary

/// 默认构造函数

/// /summary

public BasePage()

this.IsFunctionControl = true;//默认页面启动权限认证

/// summary

/// 检查用户是否登录

/// /summary

private void CheckLogin()

if (string.IsNullOrEmpty(Permission.Identity))

string url = string.Format("{0}/Pages/CommonPage/Login.aspx?userRequest={1}",

Request.ApplicationPath.TrimEnd('/'), HttpUtility.UrlEncode(Request.Url.ToString()));

Response.Redirect(url);

/// summary

/// 覆盖HasFunction *** 以使权限类判断是否具有某功能点的权限

/// /summary

/// param name="functionId"/param

/// returns/returns

protected override bool HasFunction(string functionId)

CheckLogin();

bool breturn = false;

try

breturn = Permission.HasFunction(functionId);

catch (Exception)

Helper.Alerts(this, "BasePage调用权限系统的HasFunction函数出错");

return breturn;

protected override void OnInit(EventArgs e)

Response.Cache.SetNoStore(); //清除缓存

base.OnInit(e);

CheckLogin();

否则可能会受到攻击，并通过抓包软件发现页面数据，获得一些重要的用户名或者相关信息。

还有一个值得注意的地方，就是一般这种不是很安全的 *** ，更好要求输入比较复杂一点的密码（强制要求），例如不能全部是数字密码或者不能是纯字符，对位数也要求多一点，因为很多人输入12345678,123456，123这样的密码，很容易被猜出来并登录系统，造成不必要的损失。

6、总结性建议

针对上面发现的问题，提出下面几条建议。

1）在服务器与 *** 的接口处配置防火墙，用于阻断外界用户对服务器的扫描和探测。

2）限制网站后台访问权限，如：禁止公网IP访问后台；禁止服务员使用弱口令。

3）对用户输入的数据进行全面安全检查或过滤，尤其注意检查是否包含SQL 或XSS特殊字符。这些检查或过滤必须在服务器端完成。

4）关闭windows的8.3格式功能。

5）限制敏感页面或目录的访问权限。