کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
این سایت از کوکی ها برای ارائه خدمات ما و نمایش آگهی های مرتبط و لیست های شغلی استفاده می کند.
با استفاده از سایت ما، شما تأیید میکنید که ما خط مشی کوکیها، خط مشی رازداری و شرایط خدمات ما را خوانده و درک کردهاید.
استفاده شما از محصولات و خدمات سرریز پشته، از جمله شبکه سرریز پشته، تحت این شرایط و ضوابط است.
من در حال تلاش برای ساختن یک برنامه MVC هستم و گفته شده است که این روش خوبی برای بازیابی اطلاعات نیست و حساس به اسکریپت cross-site است. من هرگز امنیت ندیده ام و سعی در یادگیری هم داشته ام، اما نمی توانم سرم را در اطراف آن ببندم.
من حدس می زنم که نقص های متعددی وجود دارد. آیا کدگذاری خاصی وجود دارد که می توانم استفاده کنم؟
تمام کد را در اینجا وارد نکردم، اما سعی کردم دریابم که من می توانم حملات XSS را متوقف کنم.
Model and View Model
The Namespace ThePeopleSearchApplication.Models
{
کلاس UserViewModel عمومی است
{
UID رشته عمومی {get؛ تنظیم؛ }
رشته عمومی FName {get؛ تنظیم؛ }
رشته عمومی LName {get؛ تنظیم؛ }
رشته عمومی ایمیل {get؛ تنظیم؛ }
وضعیت عمومی {دریافت؛ تنظیم؛ }
}
کلاس عمومی UserModel
{
UID رشته عمومی {get؛ تنظیم؛ }
رشته عمومی FName {get؛ تنظیم؛ }
رشته عمومی LName {get؛ تنظیم؛ }
رشته عمومی ایمیل {get؛ تنظیم؛ }
وضعیت عمومی {دریافت؛ تنظیم؛ }
}
}
کنترل
نام فضای ThePeopleSearchApplication.Controllers
{
کلاس عمومی MyController: کنترل کننده
{
// GET: My
شاخص ActionResult عمومی ()
{
بازگشت View ()؛
}
[ValidateInput(false)] // اضافه شده است تا XSS را بهتر درک کند
ActionResult عمومی SearchUserAjax (string userId)
{
UserModel myUser = fetchUserFromLdap (userId)؛
بازگشت به محتوا ("{" message ": " search for userId: "+
userId + "result "، "result ": "+ convertToJson (myUser) +") ")؛
}
رشته خصوصی convertToJson (UserModel myUser)
{
بازگشت "{" userId ": " "+ myUser.UserId +" "، " FirstName ": " "+
myUser.FirstName + ""، "LastName ": "" + myUser.LastName + ""، "ایمیل ": "" +
myUser.Email + ""، "وضعیت ": "" + myUser.Status + ""} "؛
}
[ValidateInput(false)] // اضافه شده است تا XSS را بهتر درک کند
ActionResult SearchUser عمومی (userId رشته)
{
UserModel myUser = fetchUserFromLdap (userId)؛
var ViewModel = UserViewModel جدید
{
UID = userID،
FName = myUser.FirstName
LName = myUser.LastName
ایمیل = myUser.Email،
وضعیت = myUser.Status،
}؛
بازگشت this.View (viewModel)؛
}
خصوصی UserModel fetchUserFromLdap (رشته userId)
{
var retVal = جدید UserModel ()؛
اگر (String.IsNullOrEmpty (userId))
{
retVal.UID = "N / A"؛
retVal.FName = "N / A"؛
retVal.LName = "N / A"؛
retVal.Email = "N / A"؛
retVal.Status = "N / A"؛
}
چیز دیگری
{
retVal.UID = userID؛
retVal.FName = "FirstName"؛
retVal.LName = "LastName"؛
retVal.Email = "[email protected]"؛
retVal.Status = " وضعیت من "؛
}
بازگشت retVal؛
}
}
}
نمایش
model ThePeopleSearchApplication.Models.UserViewModel
@ {
ViewBag.Title = "نتیجه جستجو برای کاربر:" + Model.UserId؛
var ulId = "ul-id" + Model.UserId؛
var formId = "فرم" + Model.UserId؛
}
@ Scripts.Render ("~ / بسته نرم افزاری / جی کوئری")
@ Scripts.Render ("~ / bundles / bootstrap")
نتایج جستجو برای کاربر: @ Model.UserId
- @ Model.FirstName
- @ Model.LastName
- @ Model.Email
- @ Html.Raw (Model.Status)
جستجوی آژاکس:
وبسایت من هک شده است. من مشاهده می کنم که هکر به سایت من دسترسی پیدا می کند. اگرچه با استفاده از bindparam برای جلوگیری از تزریق sql و محدودیت دسترسی مستقیم برای حمله پشتی ، تغییر هکرها من .php صفحه و اجرای اسکریپت خود را. S / او خط زیر را <iframe width = '1' height = '1' src = 'https: //www.youtube.com/embed/hKdyS_bgUbM؟ rel = 0 & autoplay = 1 & loop = 1 & playlist = RvpkUhrTmxY' در اسکریپت HTML ارسال شده خود.
من شک دارم که من تبدیل به قربانی xss حمله . بنابراین من در مورد احتمال حمله اسکریپت در گوگل جستجو کردم و در مورد تزریق iframe یافتم. و در یک ویدیو یوتیوب گفته شده است – اگر عرض و ارتفاع تویتر شما تغییر شود، تزریق فایرفاکس به راحتی قابل اجرا و هک می شود . آنچه او می گوید؟
من عنصر را از طریق بازرس موزیلا فایرفاکس بازرسی می کنم، عرض و ارتفاع iframe من می تواند در iframe live body تغییر و اعمال شود. آیا او در مورد پرونده من صحبت می کند؟ آیا وب سایت من توسط تزریق iframe هک شده است؟ اگر اینطور باشد، چگونه می توان از آن جلوگیری کرد. وب سایت من هنوز آسيبپذير است ، زيرا من فقط کد index.php خود را حذف کردم و بازگردانی index.php که هک شده بود، هیچ چیز تغییر نکرده است. لطفا کمک کنید.
این اسکریپت را در یکی از فایلهای وب سایت ما یافتم. من همه چیزهایی را که می توانم انجام دهم سعی کردم خودم را از بین ببرم، اما مهارت هایی برای انجام این کار ندارم.
https://pastebin.com/u1WjGfB4
من به حملات XSS جدید هستم. اخیرا، من یک پروژه انجام دادم و متوجه شدم که یکی از زمینه های ورودی من ( وب سایت ) آسیب پذیر است به حمله XSS . ارزش در فیلد وب سایت به یک برچسب href از یک برچسب [19459006 که باعث حمله XSS می شود، وارد می شود.
برای بررسی شیوه های مختلفی که حمله XSS را می توان انجام داد، من یک سند Github را در آنجا یافتم که کد زیر را پیدا کردم
j av a s cr i pt : a l ert (1 )
هنگامی که کد بالا به قسمت ورودی وارد می شود، برچسب لنگر به شرح زیر می شود:
کد نمونه
با کلیک روی لینک بالا، یک جعبه هشدار ظاهر می شود نمایش 1
پرسش:
کد بالا را تجزیه و اجرا شده توسط مرورگر زمانی که کاربر کلیک بر روی آن من درباره توالی فرار خواندن را خواندهایم، اما شخصیت های فرار از بالا، من را در معضل قرار می دهد.
با تشکر
