一对一免费咨询: 13913005726 025-66045668

黑帽(black hat)SEO主要是指采取不怎么道德(暂时就这么形容吧!)的方式进行搜索引擎优化。

1. 注入攻击,包括Sql注入和Html注入。我经常能看到对Sql注入防范的谈论,但对于Html注入,很多人并没有引起足够的重视。为了展示Html注入的效果,我们模仿了一个常见的留言本功能。

首先,在页面声明中添加两个属性设置EnableEventValidation=false ValidateRequest=false ,这很关键,读者可以试一下如果不这样设置会有什么效果。

%@PageLanguage="C#"AutoEventWireup="true"CodeFile="Default.aspx.cs"Inherits="_Default"EnableEventValidation="false"ValidateRequest="false"%

然后,前台页面和后台代码段分别如下:

高端网站建设 asp:TextBoxID="txtInput"runat="server"Height="95px"Width="405px"TextMode="MultiLine"/asp:TextBox
asp:ButtonID="btnSubmit"runat="server"Text="SimpleSubmit"
onclick="btnSubmit_Click"/
asp:LabelID="lblShow"runat="server"/asp:Label

protectedvoidbtnSubmit_Click(objectsender,EventArgse)
{
this.lblShow.Text=this.txtInput.Text;
}

程序很简单,将用户输入的内容再显示出来而已。运行代码,然后输入我们的恶意代码,提交。

北京大兴区网站建设公司

pSanitizingimgsrc=""INVALID-IMAGE"onerror='location.href="http://too.much.spam/"'!/p

我们会发现页面自动跳转到http://too.much.spam/页面!这就是所谓的Html注入。当page页面render到客户端后,浏览器会按一个普通的html页面进行解析;当解析到上面的js代码时……

为了避免这种入侵,在asp.net中,我们最简单的处理方式就是对输入的内容进行Html编码。将后台代码改为:

食品包装设计网站 protectedvoidbtnSubmit_Click(objectsender,EventArgse)
{
this.lblShow.Text=this.Server.HtmlEncode(this.txtInput.Text);
}

现在我们再运行代码,发现源代码被原样输出显示在页面,并没有运行。为什么呢?查看输出页面的源代码:

span id="lblShow"<p>Sanitizing <img src=""INVALID-IMAGE" onerror='location.href="http://too.much.spam/"'>!</p>/span

整理后,我们发现如下的映射转换:

-- < (less than)
-- > (greater than)
" -- &天水网站建设公司quot; (quota)

所以js无法执行,但在页面显示时,我们确能看到原汁原味的js内容。

但问题并没有结束,现实世界中,输入的内容除了恶意代码以外,还可能有如下的内容:

spanstyle="color:blue"黑帽/span(blackhat)SEO主要是指采取spanstyle="color:blue"不怎么道德/span(暂时就这么形容吧!)的方式进行搜索引擎优化。

我们希望显示蓝色的文字,但经过编码后,显然无法达到我们的效果。为此,我们还需要进行更精确的过滤。这也是为什么之前我们要设置EnableEventValidation=false ValidateRequest=false的现实原因。

其实我最先想到的方案是:首先对整个内容进行编码,然后把我们允许使用的html标签再替换回来。这样是相当保险的,但是在具体的操作中,遇到了很多问题,这个郁闷啊~~~(如果有谁有这种实现的实现代码,千万要拿出来大家分享一下呀)。

我先介绍另一种方案:

首先要取出标签,如,span style= color:blue、/span和script ,我们的替换范围仅局限于标签 之间的内容。

然后获取所有的标签名称、属性的名称和值,如果有禁止出现的内容,就替换掉。可能的恶意代码形式如下所示:

标签的名称: script /script

标签里的属性:span onclick

属性的值:img onerror=javascript:'


 


 南京牧狼文化传媒有限公司简介:


      牧狼传媒,牧者之心,狼者之性,以牧之谦卑宽容之心待人,以狼之团结无畏之性做事!


  公司注册资金100万,主营众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放以及电商营销推广全案等相关业务,致力于为客户提供更有价值的服务,创造让用户满意的效果!


  为百度官方及其大客户、苏宁易购、金山WPS秀堂、美的、创维家电、新东方在线、伊莱克斯、宝丽莱等国内国外知名品牌服务过,服务经验丰富!同时,公司也是南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位,可以为您提供更好的服务!


  主营项目:众筹全案服务、网站营销全案服务、网站建设、微信小程序开发、电商网店设计、H5页面设计、腾讯社交广告投放、竞价托管、网站优化、电商代运营等


  合作客户:百度、苏宁易购、饿了么、美的、创维家电、新东方在线、宝丽莱、金山WPS秀堂、伊莱克斯


  资质荣誉:百度商业服务市场2017年度最佳图片服务商、南京电子商务协会会员单位、猪八戒网官方认证签约服务商、江苏八戒服务网联盟、南京浦口文化产业联合会会员单位、八戒通TOP服务商、"易拍即合杯"H5创意大赛"三等奖"。



致力于为客户创造更多价值
13913005726 025-66045668
需求提交
电话咨询
在线咨询