新易网

品牌网站建设

psd转xhtml/css 88元/页起

  • 符合W3C标准的XHTML/CSS编码
  • 多浏览器及操作平台支持
  • SEO(搜索引擎)语义代码标准
  • 经过优化的和切片图像
  • 结构良好的XHTML/CSS
  • 转换页面越多,折扣越多
更多优惠

手机13146413981qq393992480msnyibing98@hotmail.com

2009

03

不要小看注释掉的JS

作者风之回廊 | 标签Tags: 网络安全 Comments: 0 | 订阅文章RSS comment feed |
 HTTP Response Splitting 攻击主要说明的是两个问题
一个是header插入问题。
另一个是\r\n问题。

我们来看这样一段代码:
test  
<script>  
    //alert('<%=request.getParameter("username")%>');  
</script>
大家都能看到,这好像有个漏洞,但是已经被补上了,注释掉了。
那既然注释掉了,就不该有问题了么?
不是的。

再看这个URL
http://localhost/index.jsp?username=kxlzx%0d%0a%0d%0aalert('kxlzx
很无奈吧?
生成了如下代码:
test  
<script>  
    //alert('kxlzx  
  
alert('kxlzx ');  
</script> 
注释掉的JS,也执行了。
所以,不要把没用的代码,注释掉的JS等,扔到html里。

代码审核是个细活,任何疏漏之处都值得注意。

Add comment


 

biuquote
  • Comment
  • Preview
微笑得意调皮害羞酷大笑惊讶发呆喜欢可怜尴尬闭嘴噘嘴皱眉伤心抓狂呕吐坏笑漫骂发怒
Loading



订阅新易网博客

  • 订阅到抓虾
  • 哪吒提醒
  • pageflakes
  • Add to My Yahoo!
  • Add to Google
  • 鲜果阅读器订阅图标
  • 订阅到有道阅读
  • 用QQ邮箱阅读空间订阅我的博客。
专业设计 量身定制 品牌网站建设 体验价只需999元
.me 我要我的域名 新网域名 260元/年 再送空间100M
印彩色名片,每盒仅5元
免费推广您的网站或产品 互换广告位、友情连接、软文

Recent comments