关于XSS 跨站脚本漏洞

可能是scanv 推广的一种方式，已进去登记认领看了一下，不存在的问题，现在手机上不好贴，改天贴过来。

附sae自带的体检结果，也仅供参考：
安全性(2013-05-15)
xss 跨站漏洞数： 0 0(0%)
json 跨站漏洞数： 0 0(0%)
sql 注入漏洞数： 0 0(0%)
挂马漏洞数： 0 0(0%)

个人不怎么看重这种工业化测试的结果。

影响好大，在百度搜索收录里面显示网站不安全。。。

我的不是SAE版本的，是虚拟空间版本的。

@拉克西米 应该是产品的强加策略

数据来源：知道创宇漏洞库、CVE

诊断发现您的网站使用的这些组件（Nginx,PHP等）最近没有出现安全问题。

这些组件历史上共存在208个漏洞

攻击者利用这些漏洞，可能导致您的网站“数据库泄漏”、“挂马”等风险。 如果你是这个网站的站长请认领该网站，立即诊断。

youbbs.sinaapp.com 网站标题 youBBS - u社区 IP地址 118.244.198.134 服务器地址 吉林省 铁通

操作系统 --服务器类型 Nginx:1.2.6 Web技术 PHP:5.3.8 Web应用组件 --防火墙 --

基本信息

网站组件

尊贵的用户，您的网站诊断报告如下：

高危 中危 低危 分

网站：youbbs.sinaapp.com 安全等级:中危

SQL注入 0

安全，通过体检中心的严格检测，您的网站未发现该类漏洞。

跨站脚本 1

网站程序忽略了对输入字符串中特殊字符与字符串（如<>'"<script><iframe>onload）的检查，使得攻击者 可以欺骗用户访问包含恶意JavaScript代码的页面，使得恶意代码在用户浏览器中执行，从而导致目标用 户权限被盗取或数据被篡改。

漏洞列表

https://www.youbbs.org/forgot

请求 GET 参数 q 测试数据 https://www.youbbs.org/forgot?q=&quot;&gt;&lt;script&gt;confirm(5833...

漏洞修复建议

中危 XSS 跨站脚本漏洞 危害

攻击者可以利用该漏洞盗取用户的Cookie等身份认证信息，模拟其他用户身份进行恶意登录；

攻击者可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击， 从而来达到获取其他的用户信息目的。

假定所有输入都是可疑的，必须对所有输入中的script、iframe等字样进行严格的检查。这里的 输入不仅仅是用户可以直接交互的输入接口，也包括HTTP请求中的Cookie中的变量，HTTP请求 头部中的变量等；

不要仅仅验证数据的类型，还要验证其格式、长度、范围和内容；

不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行；

对输出的数据也要检查，数据库里的值有可能会在一个大网站的多处都有输出，即使在输入做了 编码等操作，在各处的输出点时也要进行安全检查；

在网站发布之前建议测试所有已知的威胁；

部署Web应用防火墙；

加速乐已经可以防御该漏洞。请使用加速乐（http://www.jiasule.com ），一键防御，让网站更 快更安全。

文件信息泄漏 0 内容信息泄漏 1

信息泄漏 1

页面上存在网站程序的调试信息。

漏洞列表

https://www.youbbs.org/t/998

漏洞修复建议

低危 页面上存在网站程序的调试信息 危害

这可能会导致网站的一些架构信息泄露，比如网站Web服务类型、服务端语言、版本、甚至内网I P、网站物理路径等泄露，该信息有助于攻击者更全面了解网站的架构，为攻击者入侵网站提供帮 助。

关闭网站程序的调试机制，这个机制经常被用于网站的测试调试，该机制能显示出很详细的网站 报错信息。

若您不希望修改任何代码或部署任何设备，防护软件，做到一键防护所有类型的攻击，推荐您使 用一键防护工具保护网站安全。

再回一楼看看

3楼的亮点应该是 一键防御，一键防护，让网站更xxx