我在我们的应用程序中遇到安全问题。我不理解下面的问题,请任何人告诉我,它是什么以及如何解决这个通用问题?如何使用安全相关工具扫描网站?发生XSS漏洞,该如何解决?
螺纹 - 当Web应用程序相呼应在发送给Web浏览器的HTML响应用户提供的数据XSS弱点发生。例如,Web应用程序可能会将用户名称作为欢迎消息的一部分,或者在确认送货目的地时显示家庭地址。如果用户提供的数据包含的字符被解释为HTML元素的一部分而不是文本文本,则攻击者可以修改受害者Web浏览器接收到的HTML。
例:http://mydomain/Products.aspx?category=%22%20onEvent%3dX151232644Y1Z%20&name=Healthcare
OWASP进入一些伟大的细节在THEI主题r“XSS (Cross Site Scripting) Prevention Cheatsheet”。
简单的XSS攻击可能涉及一个人通过电子邮件发送到您的网站的链接,其中一些参数利用XSS漏洞,允许将JavaScript和/或HTML提供的参数注入到所呈现的页面中。它看起来像来自你的用户,但可能包括攻击者介绍的视觉,代码或指令。 – phatfingers
有许多扫描XSS的工具和在线服务。他们大多数蜘蛛网站,并尝试张贴形式的数据,试图“注入”他们可以在页面中检测到的JavaScript或标签。示例包括qualys.com(对法规遵从性的良好支持)或tenable.com(适用于广泛的不同类型的漏洞)。 – phatfingers
您可以在Web应用程序中AntiXSS。
教程
http://haacked.com/archive/2010/04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx
http://msdn.microsoft.com/en-us/security/aa973814
有用的工具
的Microsoft Web防护库http://wpl.codeplex.com/
漏洞利用XSS
http://msdn.microsoft.com/en-us/library/aa973813.aspx
http://www.cgisecurity.com/xss-faq.html
基本方法,以防止XSS
输入 - >防SQL注入 - >存储在数据库 - >反XSS - >输出
这些与dotnet 4.0框架相关的链接。我们使用3.5,你能解释如何在漏洞方面扫描网站。 – rangarajesh
我已更新我的帖子。让我们来阅读并理解简单的xss错误。你会找到阻止它的方法。 –
的可能重复[你如何避免在ASP.Net(MVC)?XSS漏洞(http://stackoverflow.com/questions/3955658/how-do-you-avoid-xss-vulnerabilities-in-asp -net-mvc) –
我正在使用dotnet framework 3.5。我认为这些对我来说可能没有用处。 – rangarajesh