帮朋友做的公司网站给当地网安大队通知有漏洞

查看 109|回复 8
作者:idragonet   
“跨站脚本攻击”...幸好网站是自己写的,很快修复了。如果是第三方 PHP 系统搭建那就够呛。

网安, PHP, 够呛, 脚本

HelloWorld556   
咋解决的,如果用 PHP 搭建会不会就没这个漏洞了
idragonet
OP
  
@HelloWorld556 #1 .NET Core 写的,过滤用户输入特殊字符串即可。
musi   
@HelloWorld556 这跟语言有啥关系
idragonet
OP
  
反正之前用第三方 PHP 系统搭建的网站经常给篡改网页,都怕了。
stevenchengmask   
搭个前置 WAF ,常见攻击就免疫了
Conantv2   
遇到过,不过我那个整改通知很白痴,不过也改了,算是帮他们冲下业绩。
第三方 PHP 建站系统防御其实也很简单的,Nginx 配置两个站点,一个源站做管理站,一个公开站。公开站在 Nginx 反代源站,只接受 GET 请求,并且过滤 URL 参数,神仙来黑不了。源站另一个子域名,配置开源系统以外的访问限制,比如要求特定 UA ,然后给客户浏览器装修改 UA 扩展,配置好 UA 字符串。
HelloWorld556   
@musi 我不会 PHP ,他说的用 PHP 搭建,我理解是有什么脚手架生成,可能会避免这个问题
idragonet
OP
  
@Conantv2 #6 “Nginx 反代源站,只接受 GET 请求”这个思路不错。
您需要登录后才可以回帖 登录 | 立即注册

返回顶部