因?yàn)槲覀儾粫?huì)深入研究編程技術(shù)，所以我們主要學(xué)習(xí)漏洞挖掘。我想從掌握語言基本語法的概念開始，使用函數(shù)，編寫一些演示。用底部查看前面的漏洞分析文章，過程中會(huì)發(fā)現(xiàn)勞動(dòng)點(diǎn)，從而使目的遵循相關(guān)的編程點(diǎn)。而不是小吃編程書。
昨天我的網(wǎng)站出現(xiàn)了問題，我有一個(gè)設(shè)備的網(wǎng)站，然后就是百度搜索，你百度搜索關(guān)鍵詞后，然后出來了一個(gè)出來我的網(wǎng)站，但是他點(diǎn)擊進(jìn)去以后，他直接跳轉(zhuǎn)到一個(gè)游戲界面了，然后我問我的那個(gè)技術(shù)員，他說網(wǎng)站被木馬劫持了，應(yīng)該是網(wǎng)站，可能是被掛木馬了什么的，然后我技術(shù)員說了一句話挺搞笑的，他說攻擊你的網(wǎng)站，在你網(wǎng)站上掛木馬，說明就被掛了后門什么的，說明你的網(wǎng)站有潛力哈哈。當(dāng)時(shí)我就感覺非常搞笑，然后技術(shù)員修復(fù)了漏洞清理了木馬后門，總之讓他說的就是這個(gè)問題很簡(jiǎn)單，直接修復(fù)就可以了，他說的也有一點(diǎn)道理，反正挺搞笑的這個(gè)（后來才知道這個(gè)技術(shù)員也是懂點(diǎn)皮毛，當(dāng)時(shí)他也是找的網(wǎng)站漏洞修復(fù)公司給解決的）。

XSS跨站漏洞的產(chǎn)生的根源是對(duì)前端輸入的值以及輸出的值進(jìn)行全面的安全過濾，對(duì)一些非法的參數(shù)，像<>、,",'等進(jìn)行自動(dòng)轉(zhuǎn)義，或者是強(qiáng)制的并提示，過濾雙引號(hào)，分好，單引號(hào)，對(duì)字符進(jìn)行HTML實(shí)體編碼操作，如果您對(duì)網(wǎng)站代碼不是太懂，可以找的網(wǎng)站安全公司來修復(fù)XSS跨站漏洞，國內(nèi)也就SINESAFE,深信服，綠盟，啟明星辰比較，關(guān)于漏洞的修復(fù)辦法，遵循的就是get,post,提交參數(shù)的嚴(yán)格過濾，對(duì)一些含有攻擊特征的代碼進(jìn)行。

現(xiàn)在都是電子賬單了，對(duì)吧？早年間的話還有紙質(zhì)賬單，銀行每到一個(gè)固定的日子就給你郵寄一個(gè)賬單，現(xiàn)在的話都是電子賬單了，電子賬單上你的聯(lián)系方式有吧？你的卡信息有吧？比如說，后邊那幾位安全碼，有沒有工作單位住址？你姓什么叫什么對(duì)吧？沒有全名的時(shí)候稱呼你一位先生，看見女士稱之為女士對(duì)吧？所以這些都是我們信息泄露的一種方式，包括一些游戲密碼等等。

這個(gè)的手法就是利用騰訊云的關(guān)鍵詞去正常劫持收錄，然后實(shí)際獲取的是手機(jī)訪問者的流量轉(zhuǎn)換，真是道高一尺魔高一丈，知道了原理后，就仔細(xì)對(duì)網(wǎng)站的服務(wù)器進(jìn)行了排查和分析，發(fā)現(xiàn)服務(wù)器被增加了管理員賬戶，而且網(wǎng)站代碼我讓技術(shù)仔細(xì)看了沒發(fā)現(xiàn)可疑的文件和代碼，這說明服務(wù)器被入侵了，但具體的劫持木馬沒有找到，技術(shù)建議找網(wǎng)站安全公司來處理，畢竟術(shù)業(yè)有專攻，找了SINE安全后，分析定位到了DLL里入了劫持木馬，所以才導(dǎo)致我和技術(shù)都沒有找到問題的根源。
程序漏洞只能靠修改程序來解決，個(gè)人比較建議asp語言升級(jí)成http://aps.net語言，php織夢(mèng)這些做的網(wǎng)站也進(jìn)行程序改版或者網(wǎng)上尋找網(wǎng)站漏洞修復(fù)公司進(jìn)行修補(bǔ)。國內(nèi)SINESAFE，鷹盾安全，都是對(duì)網(wǎng)站中毒后的漏洞修復(fù)有著數(shù)十年的安全經(jīng)驗(yàn)。
http://www.agrivod.com