懶人式XSS攻擊攔截方式

2012-10-15

2433
0
Asp.net

懶人式XSS攻擊攔截方式

公司的網站最近常常受到來自192.162.19.195、192.162.19.196這兩個烏克蘭來的ip，對網站的留言版做xss攻擊

雖然網站是已經使用.net 4.0，已經有基本的防護，我也已經有將錯誤發生時直接寄一封mail給自己，只是還覺

得應該要再人性化一點，不要直接就只出現錯誤頁，想要讓錯誤發生時，出現個alert後再導回原頁。

因此參考了許多網路上的文章，在globa.asx中的Application_Error 事件中寫


  if ("System.Web.HttpRequestValidationException" == Server.GetLastError().GetType().ToString())
     Server.ClearError();
    
  Response.Write("<script>alert('文字盒中請勿輸入html tag!');window.history.back(1) ; </script>");


這樣就可以了


只是這個只限於網站中的文字盒中都確認不讓使用者輸入html tag，否則的話還是建議針對單頁去撰寫


page_error事件來攔截，當然還有許多更好的方式，我這邊之所以寫懶人式，就是一改就整個網站都通用的


方式，不是萬用於每個網站，特此說明。


另外我post的這兩個ip，也在google查到了許多的網站被這二個ip做xss攻的留言內容，嘖…

&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;lt;a data-cke-saved-href=&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;quot;http://www.facebook.com/sharer.php&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;quot; href=&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;quot;http://www.facebook.com/sharer.php&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;quot; type=&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;quot;button_count&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;quot; data-cke-saved-name=&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;quot;fb_share&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;quot; name=&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;quot;fb_share&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;quot;&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;gt;分享&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;lt;/a&amp;amp;amp;amp;ampamp;amp;amp;amp;amp;amp;amp;amp;gt;

回首頁

信IT德永生

本blog中的文章有些是從我之前的痞客邦的blog搬過來滴，所以圖上有網址，請別見怪嘿

懶人式XSS攻擊攔截方式

系列文章

標籤雲

GA