提醒:本文最后更新于 4954 天前,文中所描述的信息可能已发生改变,请仔细核实。
前不久有在baidu那测试过网站安全,有那么几个漏洞,我也不是很在意,毕竟都是可以理解的,个人认为其实也不算漏洞,或者说这漏洞没人看到,看到了,也不一定有人利用。。。
正巧呢,最近貌似提倡所谓的网站安全,又看到了baidu的来信,觉得是该搞搞,用了百度和360检测了一下,发现360貌似更严格一点(流氓果然在这种小东西专业点,这算是表扬吧)。
看下百度检测的结果:
再来看看360的:
百度(忘记截图了,百度提示的漏洞只有一个,是下图的第一个)和360的漏洞结果:
其实都无伤大雅,貌似第一个确实是一个有点麻烦的漏洞,确实比较高危,可以注入sql或者js达到一些非法目的;第二个呢,就比较简单了,其实就是一跳转,只是没有验证安全性合法性就跳转了。
第一个的解决办法,对input框架进行了值检测,确定是否符合规定(因为是查ip的,所以只允许URL和IP查询),其次,对POST过来的数据,做来源检测,判断字符合理性,达到合法目的,其实这个漏洞虽然最后检测不到了,但是我认为呢,还是有漏洞,所以恕我不能将详细解决方法放上来,不然达不到目的,也就是说还有点后门,毕竟不是专业的,而且我也没花时间搞。地址:https://kn007.net/ip.php,欢迎测试,谢谢。
第二个,就简单了,直接判断来源和归属,非正常渠道生成的地址无法访问。(以前旧的访问地址仍然有效,不过必须来源正确)。测试地址:https://kn007.net/func/go.php。
最后呢,附上检测结果,百度的:
360的:
好吧,幽默的360。。貌似流氓更用户体验一点。。。说实话,不大用360产品。。。
OK,搞定,貌似没啥问题鸟。。。
转载请注明转自: kn007的个人博客 的《修复了几个漏洞》









我是第一个占沙发的淫。。
@瓜瓜:
哇! 
大半夜你不睡觉,你弄什么安全啊。。
把网站放洗衣机里洗洗。。用汰渍什么都干净了。无毒无公害
@小满子:
好吧,坑爹~ 
总算看到一篇文章了。。。赞一下~~继续保持。。。。
@Sam: 被称赞了,不容易啊
@小明夜: 很少用他们的产品
呵呵,安全性很重要啊.
不过一些代码已经做好了,不需要做多改动了.
@an9: 不喜欢嵌入所谓的360安全代码。。我自己写的源码,我自己心理清楚怎么规避,所以不用借住外力
好久都没测试过网站安全了……
@蚊哥's Blog:
我也是闲的蛋疼。。 
真是爱折腾,这都关注了,我觉得小满子的方法也不错
@Nemo: 瞎折腾
那哪里检测,我也测一测我的博客。
@天添MM: 图片有地址。一个是百度站长,一个是360网站安全
@kn007: 好吧,我去点大图片看看
@天添MM:
话说我的是100分。折腾吧你就,非要哪天给你折腾的漏洞多的女娲都给你补不了。
@老猫Music:
去...
一直没管这玩意~~就这么过着~~毕竟漏洞是漏不完的~
@小T: 反正能补就补