概述

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意HTML代码，当用户浏览该页之时，嵌入其中Web里面的HTML代码会被执行，

从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。

而本文主要讲的是利用XSS得到目标服务器的 sHell。

技术虽然是织梦dedecms老技术，但是其思路希望对大家有帮助。

首先打开文件:/include/common.func.PHP

在文件中加入函数

function RemoveXSS($val) {
   $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','',$val);

   $search = 'abcdefghijklmnopqrstuvwxyz';
   $search .= 'ABCDEFGHIJKLMNOPQRstuVWXYZ';
   $search .= '1234567890!@#$%^&*()';
   $search .= '~`";:?+/={}[]-_|\'\\';
   for ($i = 0; $i < strlen($search); $i++) {
      $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i',$search[$i],$val);
      $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/',$val);
   }

   $ra1 = array('javascript','vbscript','expression','applet','Meta','xml','blink','link','style','script','embed','object','iframe','frame','frameset','ilayer','layer','bgsound','title','base');
   $ra2 = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate','onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange','onclick','oncontextmenu','oncontrolSELEct','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick','ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate','onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onHelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete','onload','onlosecapture','onmousedown','onmouseenter','onmouSELEave','onmousemove','onmouSEOut','onmouSEOver','onmouseup','onmousewheel','onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart','onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onSELEct','onSELEctionchange','onSELEctstart','onstart','onstop','onsubmit','onunload');
   $ra = array_merge($ra1,$ra2);

   $found = true;
   while ($found == truE) {
      $val_before = $val;
      for ($i = 0; $i < sizeof($ra); $i++) {
         $pattern = '/';
         for ($j = 0; $j < strlen($ra[$i]); $j++) {
            if ($j > 0) {
               $pattern .= '(';
               $pattern .= '(&#[xX]0{0,8}([9ab]);)';
               $pattern .= '|';
               $pattern .= '|(&#0{0,8}([9|10|13]);)';
               $pattern .= ')*';
            }
            $pattern .= $ra[$i][$j];
         }
         $pattern .= '/i';
         $replacement = substr($ra[$i],2).'<x>'.substr($ra[$i],2);
         $val = preg_replace($pattern,$replacement,$val);
         if ($val_before == $val) {
            $found = false;
         }
      }
   }
   return $val;
}
<p>

搜索 <strong class="fc_03c">{dede:global name='keyword'

上一篇：dedemcs5.7修改tags单个标签小于12字节的限制

下一篇：DedeCMS系统未绑定畅言账号我们将自动为您分配一个初始账号

大佬总结

以上是大佬教程为你收集整理的最模板网分享如何修补XSS跨站脚本攻击全部内容，希望文章能够帮你解决最模板网分享如何修补XSS跨站脚本攻击所遇到的程序开发问题。

如果觉得大佬教程网站内容还不错，欢迎将大佬教程推荐给程序员好友。

本图文内容来源于网友网络收集整理提供，作为学习参考使用，版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ：384754419，请注明来意。

标签：dede教程织梦教程

上一篇: DedeCMS系统参数设置手册之性能选... 下一篇:实现DEDECMS导航栏上栏目分散对齐

猜你在找的Dedecms相关文章

Dedecmsv5.7整合ueditor 图片上传添加水印 2022-05-06
dedecms标签调用 2019-10-30
织梦文章地址SQL标签查询 2019-10-30
dedecms入门 2019-10-30
浅谈dedecms模板引擎工作原理及自定义标签 2019-10-30
dedecms中自定义数据模型 2019-10-30
dedecms网页模板编写 2019-10-30
DedecmsV5.7本地上传缩略图无法自动添加水印的解决方法 2019-10-30
dedecms自定义表单时间时间戳值类型的转换方法 2019-10-30
Dedecmsv5.7整合ueditor 图片上传添加水印 2019-10-30