网站xss高危处理?
这不是。。discuz站点?
如果这的确是discuz的系统的话,去discuz官网下载最新版即可,discuz的更新效率还是比较高的,漏洞也比较少
如果是自己写的话,不妨对传入变量做一下过滤处理
用str_replace对、、'、"这几个符号进行转译,xss一般就不会生效了
如何正确防御xss攻击
XSS攻击通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。
一、HttpOnly防止劫取Cookie
HttpOnly最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie。目前主流浏览器都支持,HttpOnly解决是XSS后的Cookie支持攻击。
我们来看下百度有没有使用。
未登录时的Cookie信息
可以看到,所有Cookie都没有设置HttpOnly,现在我登录下
发现在个叫BDUSS的Cookie设置了HttpOnly。可以猜测此Cookie用于认证。
下面我用PHP来实现下:
?php
header("Set-Cookie: cookie1=test1;");
header("Set-Cookie: cookie2=test2;httponly",false);
setcookie('cookie3','test3',NULL,NULL,NULL,NULL,false);
setcookie('cookie4','test4',NULL,NULL,NULL,NULL,true);
?
script
alert(document.cookie);
/script
js只能读到没有HttpOnly标识的Cookie
二、输入检查
输入检查一般是检查用户输入的数据中是否包含一些特殊字符,如、、'、"等,如果发现存在特殊字符,则将这些字符过滤或者编码。
例如网站注册经常用户名只允许字母和数字的组合,或者邮箱 *** ,我们会在前端用js进行检查,但在服务器端代码必须再次检查一次,因为客户端的检查很容易绕过。
网上有许多开源的“XSS Filter”的实现,但是它们应该选择性的使用,因为它们对特殊字符的过滤可能并非数据的本意。比如一款php的lib_filter类:
$filter = new lib_filter();
echo $filter-go('1+11');
它输出的是1,这大大歪曲了数据的语义,因此什么情况应该对哪些字符进行过滤应该适情况而定。
三、输出检查
大多人都知道输入需要做检查,但却忽略了输出检查。
1、在HTML标签中输出
如代码:
?php
$a = "scriptalert(1);/script";
$b = "img src=# onerror=alert(2) /";
?
div?=$b?/div
a href="#"?=$a?/a
这样客户端受到xss攻击,解决 *** 就是对变量使用htmlEncode,php中的函数是htmlentities
?php
$a = "scriptalert(1);/script";
$b = "img src=# onerror=alert(2) /";
?
div?=htmlentities($b)?/div
a href="#"?=htmlentities($a)?/a
2、在HTML属性中输出
div id="div" name ="$var"/div
这种情况防御也是使用htmlEncode
在owasp-php中实现:
$immune_htmlattr = array(',', '.', '-', '_');
$this-htmlEntityCodec-encode($this-immune_htmlattr, "\"script123123;/script\"");
3、在script标签中输出
如代码:
?php
$c = "1;alert(3)";
?
script type="text/javascript"
var c = ?=$c?;
/script
这样xss又生效了。首先js变量输出一定要在引号内,但是如果我$c = "\"abc;alert(123);//",你会发现放引号中都没用,自带的函数都不能很好的满足。这时只能使用一个更加严格的JavascriptEncode函数来保证安全——除数字、字母外的所有字符,都使用十六进制"\xHH"的方式进行编码。这里我采用开源的owasp-php *** 来实现
$immune = array("");
echo $this-javascriptCodec-encode($immune, "\"abc;alert(123);//");
最后输出\x22abc\x3Balert\x28123\x29\x3B\x2F\x2F
4、在事件中输出
a href="#" onclick="funcA('$var')" test/a
可能攻击 ***
a href="#" onclick="funcA('');alter(/xss/;//')"test/a
这个其实就是写在script中,所以跟3防御相同
5、在css中输出
在owasp-php中实现:
$immune = array("");
$this-cssCodec-encode($immune, 'background:expression(window.x?0:(alert(/XSS/),window.x=1));');
6、在地址中输出
先确保变量是否是"http"开头,然后再使用js的encodeURI或encodeURIComponent *** 。
在owasp-php中实现:
$instance = ESAPI::getEncoder();
$instance-encodeForURL(‘url’);
四、处理富文体
就像我写这篇博客,我几乎可以随意输入任意字符,插入图片,插入代码,还可以设置样式。这个时要做的就是设置好白名单,严格控制标签。能自定义 css件麻烦事,因此更好使用成熟的开源框架来检查。php可以使用htmlpurify
五、防御DOM Based XSS
DOM Based XSS是从javascript中输出数据到HTML页面里。
script
var x = "$var";
document.write("a href='"+x+"'test/a");
/script
按照三中输出检查用到的防御 *** ,在x赋值时进行编码,但是当document.write输出数据到HTML时,浏览器重新渲染了页面,会将x进行解码,因此这么一来,相当于没有编码,而产生xss。
防御 *** :首先,还是应该做输出防御编码的,但后面如果是输出到事件或脚本,则要再做一次javascriptEncode编码,如果是输出到HTML内容或属性,则要做一次HTMLEncode。
会触发DOM Based XSS的地方有很多:
document.write()、document.writeln()、xxx.innerHTML=、xxx.outerHTML=、innerHTML.replace、document.attachEvent()、window.attachEvent()、document.location.replace()、document.location.assign()
你在工作中遇到某个地方出现火灾时之一时间该怎么处置?
现代消防的意义:消防知识+消防意识+消防器械。三者是缺一不可的。
1、切勿在棚屋、板房内乱接乱拉电线和使用大功率电器设备;
2、切勿在棚屋、板房内存放易燃易爆物品;
3、切勿在棚屋、板房内吸烟,室外吸烟后不能乱扔烟头;
4、尽量不要使用油灯、蜡烛照明和点蚊香,点蚊香须放在盛有沙土的铁盆内或铁桶内;帐篷内采用电灯照明时,灯泡不得用纸、布等可燃物包裹,灯泡应高于衣物、棉被等可燃物2米;不得随意更换大功率灯泡。
5、切勿在棚内使用液化气、蜂窝煤等明火煮饭。煮饭的灶、炉应放在开阔地带,保持良好通风,与棚屋保持一定的安全距离。用火时不离人,用后及时熄灭。不要使用过期、未经检验、锈蚀严重的钢瓶。
6、不在疏散通道上拉绳堆物、停放车辆,保持疏散通道和消防车通道畅通; 7、不遮挡、覆盖附近的消防设施;
8、准备一些逃生工具(湿毛巾、手电筒)、灭火工具(盆、桶、
消防红外线对射报火警如何消除?
现场声光警报器一直响的话,需要处理火警,如果是误报,按控制器主机复位键即可。
如果是报警控制器主机一直响,需要看是什么提示信息,是故障还是火警。
故障需要解决故障,如线路出现问题,现场设备损坏;如果是火警,同上,是误报的话复位报警信号即可;真火警有火情的话走应急预案。
扩展资料:
在发生火警时,控制器所连接的警报器将发出报警声,提示人员有火警存在,如果值班人员发现不是真实火警时,可以按“警报器消音/启动”键,来禁止警报器和讯响器发出声音报警。
警报器消音的同时控制器的警报器消音指示灯点亮,有新的火警发生时,警报器将再次发出声音报警,同时控制器的警报器消音指示灯熄灭。
也可以通过按下“警报器消音/启动”键来手动启动控制器所连接的警报器,控制器将提示“按确认键启动所有警报输出”,在按确认键后,警报器和讯响器将启动。火警报警器是利用烟气传感器或温度传感器配合微电子判断电路驱动报警器或电磁继电器用来达到对火灾预警或警示作用的一种报警器。通常在公共场所,大型酒店使用。
如何处理第三方js插件的xss漏洞
试试腾讯电脑管家,会根据你的系统环境智能筛选,若是发现不适用于你的系统环境的漏洞补丁也会智能忽略,将因补丁引起问题的机率较到更低。而至于磁盘空间的占用你是不用担心的,补丁备份所占用的空间并不高,你可以在清理垃圾后选择深度清理,然后选择Windows Update或自动更新数据库文件进行清理。至于系统性能,则正常情况下基本上不受影响
发生火灾时如何正确处置火灾
发生火灾时正确处置火灾的 *** :
1、及时拨打119火灾报警 *** ,讲清楚事故发生的地点,火势等;
2、在火灾中,被困人员应有良好的心理素质,保持镇静,不要惊慌,不盲目地行动,选择正确的逃生 *** ;
3、可以利用消防电梯、室内楼梯进行逃生,普通电梯千万不能乘坐,因为普通电梯极易断电,没有防烟功效,火灾发生时被卡在空中的可能性极大.同时,也可以利用建筑物外墙的水管进行逃生;
4、可以利用透明塑料袋,透明塑料袋不分大小都可利用,使用大型的塑料袋可将整个头罩住,并提供足量的空气供逃生之用;
5、火场中的儿童和老弱病残者,他们本人不具备或者丧失了自救能力,在场的其他人除自救外,还应当积极救助他们尽快逃离险境;
6、正确使用灭火器灭火;
7、在发生火灾时千万不要围观,火场极为危险,随时可能爆炸,万万不可围观。
海湾消防9000主机火警,故障,反馈怎么查询?
按照控制器各按键的功能来划分,可以分为信息查询类按键、特殊功能类按键、设置功能类按键、字符键和操作键。
信息查询类按键:指用户查询各类信息时,用来进行显示信息切换的按键,属于用户经常操作的按键,包括:“浏览火警”、“信息查询”、“窗口切换”、“图形/文本”。
特殊功能类按键:指用户操作控制器时,完成相应的命令,改变系统状态的按键,包括:“火警确认”、“消音”、“警报器消音/启动”、“火警传输直接控制”、“复位”、“自检”、“启动/停动”、“屏蔽/取消屏蔽”。
设置功能类按键:指用户需要设置控制器的参数、调试及改变控制器设置时使用的按键,包括:“系统设置”、“用户设置”。
操作键:指用户进行各种操作时均可能用到的按键,包括:方向键及“确认”、“取消”。
本控制器除具有本机键盘外,还可配接标准键盘,并具有触摸屏操作功能,可利用外接键盘及触摸屏进行数据输入或菜单选择等操作。
1.2信息查询
按下“信息查询”液晶屏将显示图1-3所示界面。
如何操作报警主机海湾GST-9000
图3
1.2.1 历史记录查询
选择 “1、历史记录查询”可对运行记录、火警记录和操作记录进行查询。如图1-4所示。
如何操作报警主机海湾GST-9000
图3
1.2.2 运行记录查询
进入“1、运行记录查询”,可检查运行记录信息,如图1-5所示。运行记录包括所有的报警信息,发出的命令和进行的设置。每条信息包括序号、信息类型、信息发生的时间、二次码、设备类型及注释信息。本控制器可查询系统最新发生的3200条记录。
如何操作报警主机海湾GST-9000
图5
1.2.3 火警记录查询
进入“2、火警记录查询”,可检查火警记录信息,如图1-6所示。每条信息包括序号、火警发生的时间、二次码、设备类型及注释信息。本控制器可查询系统最新发生的1000条火警记录信息。
如何操作报警主机海湾GST-9000
图6
1.3 警报器的消音及启动
在发生火警时,控制器所连接的警报器将发出报警声,提示人员有火警存在,如果值班人员发现不是真实火警时,可以按“警报器消音/启动”键,来禁止警报器和讯响器发出声音报警,警报器消音的同时控制器的警报器消音指示灯点亮,有新的火警发生时,警报器将再次发出声音报警,同时控制器的警报器消音指示灯熄灭。也可以通过按下“警报器消音/启动”键来手动启动控制器所连接的警报器,在按确认键后,警报器和讯响器将启动。“警报器消音/启动”键需要使用用户密码(或更高级密码)解锁后才能进行操作。
1.4火警传输直接控制
在发生火警时,控制器直接(或按照联动控制关系)启动火警传输设备。值班人员也可以通过“火警传输直接控制”按键直接启动火警传输设备。 “火警传输直接控制”键需要使用用户密码(或更高级密码)解锁后才能进行操作。
1.5火警及故障的处理 ***
1.5.1 火警的一般处理 ***
当发生火警时,应先检查发生火警的部位,并确认是否有火灾发生。
若确认为火灾发生,应立刻通知消防部门,并组织人员疏散。
若为误报警,记录下误报警设备号及报警时间,确认误报警设备的现场情况,如有无较大的灰尘、水蒸气、温度剧烈变化、气流、较大物体移动等,并记录;如果出现有规律的误报,请联系售后服务人员解决。
1.5.2 故障的一般处理 ***
故障一般可分为两类,一类为控制器内部部件产生的故障,如主备电故障、总线故障等;另一类是现场设备故障,如探测器故障、模块故障等。故障发生时,可按“消音”键终止故障警报声。
² 若主电掉电,采用备电供电,处于充满状态的备电可维持控制器工作8小时以上,直至备电自动保护;在备电自动保护后,为提示用户消防报警系统已关闭,控制器会提示1小时的故障声;在使用过备电供电后,需要尽快恢复主电供电并给电池充电48小时,以防蓄电池损坏。
² 若系统发生故障,应及时检修,若需关机,应做好详细记录。
² 若为现场设备故障,应及时维修,若因特殊原因不能及时排除的故障,应利用系统提供的设备屏蔽功能将设备暂时从系统中屏蔽,待故障排除后再利用取消屏蔽功能将设备恢复。
1.6设备的屏蔽与取消屏蔽
当外部设备(探测器、模块或火灾显示盘)发生故障时,可将它屏蔽掉,待修理或更换后,再利用取消屏蔽功能将设备恢复。
用触摸屏操作的 *** :系统默认的状态为可屏蔽设备或取消屏蔽列表框中显示全部可屏蔽设备或可取消屏蔽设备,直接点击可屏蔽设备或取消屏蔽列表框区域的屏幕,可直接选择设备二次码,被选中的设备二次码反白显示,再次点击被选中的设备二次码,选中的设备二次码写入到相应设备提示框,点击屏幕“屏蔽”按钮或“取消”按钮,可屏蔽/取消屏蔽该设备。