您当前的位置: 首页 > 游戏

ASPNET嘚优化黑帽seoHtml注入

2019-02-03 02:01:07

黑帽(black hat)SEO主要是指采取不怎么道德(暂时就这么形容吧!)的方式进行搜索引擎优化。

1. 注入攻击,包括Sql注入和Html注入。我经常能看到对Sql注入防范的谈论,但对于Html注入,很多人并没有引起足够的重视。为了展示Html注入的效果,我们模仿了一个常见的留言本功能。

首先,在页面声明中添加两个属性设置EnableEventValidation=false ValidateRequest=false ,这很关键,读者可以试一下如果不这样设置会有什么效果。

%@PageLanguage=C#AutoEventWireup=trueCodeFile=Inherits=_DefaultEnableEventValidation=falseValidateRequest=false%

然后,前台页面和后台代码段分别如下:

asp:TextBoxID=txtInputrunat=serverHeight=95pxWidth=405pxTextMode=MultiLine/asp:TextBoxasp:ButtonID=btnSubmitrunat=serverText=SimpleSubmitonclick=btnSubmit_Click/asp:LabelID=lblShowrunat=server/asp:Label

protectedvoidbtnSubmit_Click(objectsender,EventArgse){xt=xt;}

程序很简单,将用户输入的内容再显示出来而已。运行代码,然后输入我们的恶意代码,提交。

pSanitizingimgsrc=INVALID-IMAGEonerror='ef='!/p

我们会发现页面自动跳转到页面!这就是所谓的Html注入。当page页面render到客户端后,浏览器会按一个普通的html页面进行解析;当解析到上面的js代码时

为了避免这种入侵,在中,我们简单的处理方式就是对输入的内容进行Html编码。将后台代码改为:

protectedvoidbtnSubmit_Click(objectsender,EventArgse){xt=mlEncode(xt);}

现在我们再运行代码,发现源代码被原样输出显示在页面,并没有运行。为什么呢?查看输出页面的源代码:

span id=lblShowlt;pgt;Sanitizing lt;img src=quot;quot;INVALID-IMAGEquot; onerror='ef=quot;'gt;!lt;/pgt;/span

整理后,我们发现如下的映射转换:

-- lt; (less than) -- gt; (greater than) -- quot; (quota)

所以js无法执行,但在页面显示时,我们确能看到原汁原味的js内容。

但问题并没有结束,现实世界中,输入的内容除了恶意代码以外,还可能有如下的内容:

spanstyle=color:blue黑帽/span(blackhat)SEO主要是指采取spanstyle=color:blue不怎么道德/span(暂时就这么形容吧!)的方式进行搜索引擎优化。

我们希望显示蓝色的文字,但经过编码后,显然无法达到我们的效果。为此,我们还需要进行更精确的过滤。这也是为什么之前我们要设置EnableEventValidation=false ValidateRequest=false的现实原因。

其实我想到的方案是:首先对整个内容进行编码,然后把我们允许使用的html标签再替换回来。这样是相当保险的,但是在具体的操作中,遇到了很多问题,这个郁闷啊~~~(如果有谁有这种实现的实现代码,千万要拿出来大家分享一下呀)。

我先介绍另一种方案:

首先要取出标签,如,span style= color:blue、/span和script ,我们的替换范围仅局限于标签 之间的内容。

然后获取所有的标签名称、属性的名称和值,如果有禁止出现的内容,就替换掉。可能的恶意代码形式如下所示:

标签的名称: script /script

标签里的属性:span onclick

属性的值:img onerror=javascript:'

注:相关站建设技巧阅读请移步到建站教程频道。

进口磁力钻电话
冷冻离心机批发
中频治疗仪
推荐阅读
  • 房管所的房子过户
    房管所的房子过户

    房管所的房子过户 农村房子过户问题?问题详情:20年前买的亲戚家的农村房子,一直没有过户,大家彼此都是农...[详细]

  • 人民日报村官为何成腐败重灾区
    人民日报村官为何成腐败重灾区

    人民:村官为何成腐败重灾区?朱慧卿绘核心阅读“是该正风肃纪了!”面对近日媒体报道的“广州白云区81名干部...[详细]

  • ASPNET嘚优化黑帽seoHtml注入
    ASPNET嘚优化黑帽seoHtml注入

    黑帽(black hat)SEO主要是指采取不怎么道德(暂时就这么形容吧!)的方式进行搜索引擎优化。1. 注入攻击,包括...[详细]

  • 室内设计收费项目
    室内设计收费项目

    室内设计收费项目 UI设计与室内设计如何取舍?问题详情:想报个培训班学习一下,个人想报的是ui设计,但是有很...[详细]

  • 装修走廊效果图大全
    装修走廊效果图大全

    装修走廊效果图大全 请大神们看看这户型怎样装修好,走廊太长怎样装修可以利用起来?问题详情:推荐回答:感...[详细]

  • 旁边的旁边是你7z
    旁边的旁边是你7z

    每次望见她在美丽的校园里袅袅款款地来去,我都会想到柔柔的水草。  很小的时候,我就喜欢独自一人,静静...[详细]

图文聚焦