提醒:本文最后更新于 4152 天前,文中所描述的信息可能已发生改变,请仔细核实。
正巧呢,最近貌似提倡所谓的网站安全,又看到了baidu的来信,觉得是该搞搞,用了百度和360检测了一下,发现360貌似更严格一点(流氓果然在这种小东西专业点,这算是表扬吧)。
看下百度检测的结果:
再来看看360的:
百度(忘记截图了,百度提示的漏洞只有一个,是下图的第一个)和360的漏洞结果:
其实都无伤大雅,貌似第一个确实是一个有点麻烦的漏洞,确实比较高危,可以注入sql或者js达到一些非法目的;第二个呢,就比较简单了,其实就是一跳转,只是没有验证安全性合法性就跳转了。
第一个的解决办法,对input框架进行了值检测,确定是否符合规定(因为是查ip的,所以只允许URL和IP查询),其次,对POST过来的数据,做来源检测,判断字符合理性,达到合法目的,其实这个漏洞虽然最后检测不到了,但是我认为呢,还是有漏洞,所以恕我不能将详细解决方法放上来,不然达不到目的,也就是说还有点后门,毕竟不是专业的,而且我也没花时间搞。地址:https://kn007.net/ip.php,欢迎测试,谢谢。
第二个,就简单了,直接判断来源和归属,非正常渠道生成的地址无法访问。(以前旧的访问地址仍然有效,不过必须来源正确)。测试地址:https://kn007.net/func/go.php。
最后呢,附上检测结果,百度的:
360的:
好吧,幽默的360。。貌似流氓更用户体验一点。。。说实话,不大用360产品。。。
OK,搞定,貌似没啥问题鸟。。。
转载请注明转自:kn007的个人博客的《修复了几个漏洞》