如何正确防御xss攻击?
1、基于特征的防御。XSS漏洞和著名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同,这就是给XSS漏洞防御带来的困难,不可能以单一特征来概括所有XSS攻击。
传统的XSS防御在进行攻击鉴别时多采用特征匹配方式,主要是针对JavaScript这个关键词进行检索,但是这种鉴别不够灵活,凡是提交的信息中各有JavaScript时,就被硬性的判定为XSS攻击。
2、基于代码修改的防御。Web页面开发者在编写程序时往往会出现一些失误或漏洞,XSS攻击正是利用了失误和漏洞,因此一种比较理想的方法就是通过优化Web应用开发来减少漏洞,避免被攻击:
①用户向服务器上提交的信息要对URL和附带的HTTP头、POST数据等进行查询,对不是规定格式、长度的内容进行过滤。
②实现Session标记、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行。
③确认接收的内容被妥善的规范化,仅包含最小的、安全的Tag,去掉任何对远程内容的引用,使用HTTP only的cookie。
3、客户端分层防御策略。客户端跨站脚本攻击的分层防御策略是基于独立分配线程和分层防御策略的安全模型。它建立在客户端,这是它与其他模型最大的区别。之所以客户端安全性如此重要,客户端在接受服务器信息,选择性的执行相关内容。这样就可以使防御XSS攻击变得容易,该模型主要由三大部分组成:
①对每一个网页分配独立线程且分析资源消耗的网页线程分析模块;
②包含分层防御策略四个规则的用户输入分析模块;
③保存互联网上有关XSS恶意网站信息的XSS信息数据库。
XSS是什么
1、XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
2、恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
3、XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。
4、另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当要渗透一个站点,自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
XSS攻击的定义,类型以及防御方法?
XXS攻击全称跨站脚本攻击,是一种在Web应用中的计算机安全漏洞,它允许恶意Web用户将代码植入到提供给其他使用的页面中。
XSS攻击有哪几种类型?下面就由锐速云的小编为大家介绍一下
经常见到XSS攻击有三种:反射XSS攻击、DOM-based型XSS攻击以及储存型XSS攻击。
[if !supportLists]1、[endif]反射型XSS攻击
反射性XSS一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的URL,当受害者点击这些专门设计链接的时候,恶意代码会直接在受害主机上的浏览器上执行,反射型XSS通常出现在网站搜索栏,用户登入口等地方,常用来窃取客户端或进行钓鱼欺骗。
[if !supportLists]2、[endif]存储型XSS攻击
存储型XSS攻击也叫持久型XSS,主要将XSS代码提交储存在服务器端(数据库,内存,文件系统等)下次请求目标页面时不用在提交XSS代码。当目标用户访问该页面获取数据时,XSS代码会从服务器解析之后加载出来,返回到浏览器做正常的HTML和JS解析执行,XSS攻击就发生了。储存型XSS一般出现在网站留言,评论,博客日志等交互处,恶意脚本储存到客户端或者服务端的数据库中。
[if !supportLists]3、[endif]DOM-based型XSS攻击
DOM-based型XSS攻击它是基于DOM的XSS攻击是指通过恶意脚本修改页面的DOM结构,是纯粹发生在客户端的攻击。DOM型XSS攻击中,取出和执行恶意代码由浏览器端完成,属于前端JavaScript自身的安全漏洞。
如何防御XSS攻击?
[if !supportLists]1、[endif]对输入内容的特定字符进行编码,列如表示html标记等符号。
[if !supportLists]2、[endif]对重要的cookie设置httpOnly,防止客户端通过document。cookie读取cookie,此HTTP开头由服务端设置。
[if !supportLists]3、[endif]将不可信的输出URT参数之前,进行URLEncode操作,而对于从URL参数中获取值一定要进行格式检查
[if !supportLists]4、[endif]不要使用Eval来解析并运行不确定的数据或代码,对于JSON解析请使用JSON。Parse()方法
[if !supportLists]5、[endif]后端接口也应该要做到关键字符过滤的问题。
关于校内网的问题,高手进!
如何注册成为校内网用户?
校内网xiaonei.com现阶段向高中生,大学生和公司用户开放,为保证用户隐私,你需要经过以下步骤才能注册成为正式用户:
到注册页面,填写您的真实姓名,邮箱地址和设置密码。选择您是高中生,大学生或公司用户,我们将根据您的身份来决定您的注册方式和资料填写。根据要求填写相应的注册信息,用自己的email作为账号注册;
到你的注册邮箱查收来自校内网的激活信,点击邮件里的激活链接激活你的账号,如果你的邮箱收不到校内网的激活信,可以从注册邮箱向reg@xiaonei.com发信申请激活;
激活成功后通过验证即可成为正式用户。
如何验证你的身份?
你可以通过以下任何一种方式验证你的身份:
高中生用户:根据我们所发放的注册码注册(注册码和学校是相对应的,一个注册码只能注册一个账号);没有填写注册码的同学注册进入后成为待审核状态,需寻找同校同学,并发送加入高中网络的申请,待对方对你进行身份认证。
大学生用户:注册时所用机器IP在所选学校IP列表里或者用学校官方邮箱注册的账号激活后直接通过身份验证;如注册时IP与该大学的IP不符也没有学校官方邮箱,则需提交相关资料,经管理员审核批准加入。
公司用户:目前只允许通过公司邮箱认证您的公司用户身份,没有公司邮箱将确定不了您的身份,不予注册。
为什么需要激活?
为了方便你在忘记密码或者帐号被盗时取回密码和帐号,你需要到你的注册信箱中激活校内网帐号。
我没有收到激活信怎么办?
先试下重发激活码
如果你还没收到激活信,你可以从你的注册信箱给reg@xiaonei.com发信,管理员会尽快解决
登录
为什么很多操作需要登录才能执行?
校内网的同学们大多使用真实信息,为了保护同学们的隐私,凡是涉及到同学们具体信息的操作,都得登录以后才能执行。
登录失败怎么办?
可能你还没有注册,先去注册吧。
可能你的账号还没有激活,先激活你的账号吧,查收校内网寄给你的信,点信内的链接,就可以激活账号了;没收到激活信?
你的注册email或密码输入错误,比如不小心输错了大小写。
试过好多次,还是账号密码错误,试下取回密码吧
账号密码
忘记密码怎么办?
系统提示密码错误后,你可以点击“取回密码”,输入注册邮箱后,到该邮箱中去查收取回密码的信件。如果你试过后没有收到取回密码的信件,那么你可以从该邮箱中发信给reg@xiaonei.com申请取回密码。
如何修改注册邮箱?
点击页面左边“账号信息”,可以修改邮箱。注意,你修改了登录email以后,校内网会给你的新email发送一个验证链接,你需要用该链接验证这个新的email属于你,修改的email才会生效。
如何修改密码?
点击页面左边“账号信息”,可以修改密码。
邀请
如何邀请朋友加入校内网?
点击首页链接“邀请朋友加入校内网”。
通过msn邀请:输入你的msn帐号的信息,我们会帮你找到你有哪些msn朋友已经注册了校内,你还可以向没有注册校内的朋友发送邀请邮件。我们不会记录你的帐号密码或未经允许发送邮件。
通过链接邀请:点击“复制邀请链接”,然后把这个链接发给朋友,邀请他们注册,或者把这个链接复制到你的QQ或MSN的签名档中。
通过Email邀请:在收信人处填写朋友的 Email 地址,如果要一次多邀请几个,可以用逗号来分隔多个Email,然后点击“发送邀请”即可。
什么是校内介绍人?
你的同学接受邀请加入校内网后,你便成为他们的校内介绍人。作为他们的校内介绍人,你的信息会出现在他们的页面上,以方便他们找到你并融入校内网。
网络设置
在校内,默认同网络的人是可以互相浏览个人主页的,所以加入相应网络决定你在校内的浏览权限。
如何加入网络?
点击顶部导航“网络管理我的网络”,高中生升学后通过ip、email认证或者审核即可加入大学网络。大学生毕业参加工作,可以通过填写你的公司内部工作邮箱来加入公司网络。
如何离开网络?
点击顶部导航“网络管理我的网络”,在你所加入的网络名称右侧,点击“离开网络”即可退出该网络。退出后再想加入仍然需要验证。
什么是当前网络?如何设置?
当前网络表示你目前的真实状况,例如大学生的当前网络应为某大学,公司用户的当前网络应为某大学。当前网络将作为你最主要的网络出现在你的页面上,当你留言、发帖时,会出现你的名字后面。
点击顶部导航“网络管理我的网络”,在你所加入的网络右方,点击“设置为当前网络”即可。
搜索
搜索首页分3个Tab:同事/同学•群•高级搜索。对于不同身份的用户,所使用的搜索功能有所不同。
高中用户的搜索功能:
如何查找高中同学?
在基本搜索中输入你要查询的同学姓名,同时选择你要查询的高中名称,点击‘搜索’按钮: 如果忘记了同学的姓名,或者同学的高中名称,也可以通过只选择姓名或高中名称进行搜索: 在搜索结果页,对搜索结果再进行筛选:
如何查找初中/小学同学?
初中/小学搜索中系统默认了你的初中或小学名称,只需点击‘搜索’按钮,就能找到所有在校内网注册的初中同学: 如果你还记得初中同学的姓名,可以同时输入同学姓名进行搜索: 在搜索结果页中,对搜索结果再进行筛选:
高级搜索
在高级搜索中增加了性别、家乡、生日、星座的搜索属性,可以通过一次性输入条件对同学进行精确搜索。
大学用户的搜索功能:
如何查找大学同学?
在基本搜索中输入你要查询的同学姓名,同时选择你要查询的大学名称,点击‘搜索’按钮: 如果忘记了同学的姓名,或者同学的大学名称,也可以通过只选择姓名或大学名称进行搜索: 在搜索结果页,对搜索结果再进行筛选:
如何查找高中同学?
高中搜索中记录了你的高中名称,只需点击‘搜索’按钮,就能找到所有在校内网注册的高中同学: 如果你还记得高中同学的姓名,可以同时输入同学姓名进行搜索: 在搜索结果页中,对搜索结果进行筛选:
高级搜索
在高级搜索中增加了性别、家乡、生日、星座的搜索属性,可以通过一次性输入条件对同学进行精确搜索。
公司用户的搜索功能:
如何查找同事?
在基本搜索中输入你要查询的同事姓名,同时选择你要查询的公司名称,点击‘搜索’按钮: 对搜索结果进行筛选: 姓名为必填项,不支持单独选择公司名称的搜索。
如何查找大学同学?
大学搜索中默认了你的大学名称,只需点击‘搜索’按钮,就能找到所有在校内网注册的大学同学: 如果你还记得大学同学的姓名,可以同时输入同学姓名进行搜索: 在搜索结果页中,对搜索结果再进行筛选:
高级搜索
在高级搜索中增加了性别、家乡、生日、星座的搜索属性,可以通过一次性输入条件对同学进行精确搜索。
除了搜索页面的搜索功能,还有什么搜索方法?
针对不同信息,校内网提供了全面多样化的搜索功能。你可以通过点击个人主页上的资料信息,如公司、学校、院系、入学年份、宿舍楼、生日、星座、性别、家乡、高中、加入的社团、喜欢的音乐、喜欢的书、喜欢的电影、喜欢的游戏和兴趣爱好等搜索到同身份和你具有相同某种特质或爱好的同学或同事。 另外,你也可以通过校内网高级搜索来搜索具体某些具体信息的同学。
返回个人资料
修改个人资料?
点击页面左边的编辑就可以修改你的基本信息、联系方式、学校信息、个人信息和工作信息等。 基本信息填写真实,这样可以找到老乡、同月同日生。通过你的资料上的学校信息,你的小学、初中、高中和大学同学都可以更方便的找到你。 联系方式,根据个人想法写就好。目前,你的联系只会向你的好友公开。 个人信息是你展示个性的一个方面,如果你希望同你具有相同爱好的朋友可以方便的找到你,可以写的尽可能规范,用正确的分隔符分开每个关键词,书名号可以不写,游戏的版本号也可以不写,如果你不喜欢这些限制可以完全无视这些东西,随心所欲。
日志功能
如何在日志中添加好友?
当你编写或编辑一篇日志的时候,在该页面的右侧会有提示添加相关好友的输入框,只需点击该输入框进入选择好友的下拉菜单,就可以直接对好友进行勾选,确定加哪些跟这篇日志相关的好友。
如何查看添加过自己的日志?
想知道你哪些朋友的日志添加了你,只需要点击页面上方的与我有关的日志,就可以查看所有添加过你的日志。
如何查看添加过朋友的日志?
想知道你的朋友都被添加进了哪些日志,你只要直接进入该好友的日志页面,点击页面上方的‘与xx有关的日志’就可以看到了。
被添加进自己不喜欢的日志,该怎么办?
通过点击‘与我有关的日志’,可以观看到添加你的日志名称以及日志作者,如果你不喜欢被某些日志添加,可以点击该日志条目右侧的‘退出’按钮。退出之后,你的名字就不会在该日志上显示了。
如何使用日志中的导入日志功能?
点击“我的日志”页面右侧的“导入日志”链接,进入导入日志的具体页面;
在导入日志页面的输入框中提交你的站外博客的rss源,阅读并接受校内导入日志服务条款后,点击开始导入;
系统将读取到该站外博客的相关信息,你可以从中勾选导入哪些日志并对它们进行隐私设置。点击导入选中日志后,这些日志将根据你的设置出现在校内日志中。
系统如何自动更新你的导入日志?
系统根据你所提交的rss源,检测到该站外博客有更新时,我们会通过站内信通知你,并在该信件中附带链接。通过该链接到具体页面上勾选导入哪些日志并对其进行隐私设置。
如何更改已经系统提交的导入信息?
若你希望校内不在将该站外博客中的更新日志导入到你的校内日志中;或是想更换之前所提交的rss源导入你的其它站外博客。
在日志首页右侧,可以看见修改导入设置的入口。到导入日志页面修改当前设置。点击“停止导入”后,系统将不再读取你之前所提交的rss源的相关信息。
导入日志同直接在校内发表的日志相比,有哪些区别?
在校内日志中,我们也会将标示这些日志属于导入站外日志,并附上这些导入日志的原地址。这些导入日志将不能再次编辑,但导入人有权删除,其它用户可以分享、评论。
分享功能
我可以分享什么?
通过分享功能,你可以将校内日志、照片、相册、群帖子,活动,个人页面以及站外链接分享给你的好友。
如何分享站内信息?
点击分享按钮,你可以选择添加到你的分享列表或是通过站内信分享给指定好友
选择“分享给我的好友”,我们会将你所分享的内容以及评论通过站内信的方式发送给你指定的好友;或者你可以选择“添加到我的分享”,将该内容添加至你的分享列表中。
如何分享站外资源?
你可以将你感兴趣的资源网址,输入或者粘贴至分享页面右侧的输入框中,点击分享按钮进入分享设置页面,你可以添加评论并且选择分享范围。
怎样删除我的分享记录?
点击分享首页上方的“我的分享”链接,进入你的个人分享页,点击你想删除分享项右上角的“X”即可删除该条分享记录。
返回星级用户
如何成为星级用户?
要想获得星星需要的同时满足这三条:
本人的、真实的、近期的、能看清楚脸的照片作头像;(上传头像)
本人的、真实的中文姓名,可以加些修饰但一定要能看出哪个是名字来;
较为完善的个人资料。
星星是管理员手工处理,可能会有一天的延迟。若用户完善信息24小时后发现自己符合条件却仍然没有加星。可能是被管理员误判了,请点击首页提示的”立刻申请加星”,管理员24小时内会重新审核加星。如果你的首页没有”立刻申请加星”项,则说明你已经是星级用户。
注意:有些同学美化页面的时候,添加的代码可能会导致星星被隐藏。
具体评定标准
成为星级用户之后就一直是星级用户了吗?
不是。如果你换照片、改名字以及修改个人资料,管理员都会重新审核以决定你是否继续作星级用户。
星级用户拥有什么特权?
成为星级用户后,只要登陆,该用户的相册空间就可每天增加1M,一天中若没有登陆则不增加。
新用户注册会得到100积分,经过审核成为星级用户后增加100积分,若删除照片或修改资料导致被取消星级用户资格,则扣掉100积分。
只有星级用户才能更改自己的大学网络和高中网络。
星级用户可以建群、发布告、作群管理员,只有星级用户会在"随便看看"和“人气之星”中出现。注意,建群、发布告、群发站内邀请需要花积分。
人气之星(此功能只对大学用户开放)
什么是人气?
在校内网我们说的人气就是指自己页面被其他同学访问的次数。
如何提高人气?
关于如何提高人气嘛,在群里发很有水平的帖子、写出很吸引人的日志、认真对待每个好友和来访的客人都是不错的主意,还有就是一个漂亮而又与众不同的页面会让大家想再来看看。另外通过一些非正当手段提高人气将属于被人鄙视的行为,情节严重者还可能面临对人气清零甚至删号的危险。
如何成为人气之星?
成为人气之星必须满足:
星级用户;
人气值在本校或在校内网排名前100名;
经常上线。
如何查看本校人气之星?
在你首页下方会随机显示你所在大学的6个人气之星,如果你发现谁的照片是假的可以向系统管理员举报,得到证实后,明天那位同学将不再是人气之星。
关于积分
如何获得积分?
每天每人最多可以获得100,发帖5/帖、日志5/篇,留言评论1/条,不过每个数值会随当天的得分的逐渐接近100而逐渐减少,每天总分不能超过100。
积分怎么花?
建群50/个,布告20/天,邀请5/人,随机招呼1/次。其中建群和布告只有星级用户才能操作。邀请必须是星级用户管理员才可以发出,被邀请者接受的,原来花的5分还给邀请者,不受100分限制,不接受的将不予返还。
负分了怎么办?
负分除了那些需要积分的操作不能作外,没什么不良影响。
积分和星星有关系吗?
没有关系。
返回关于群
如何搜索群?
你可以通过页面左边我的群页面右上角搜索框进行搜索,也可以通过页面上方搜索中的群搜索来搜索。请注意,群的搜索是分大小写的。
如何建新群?
你可以通过页面左边我的群进入新建群里建立一个自己的群,并通过邀请或者其他形式的广告来吸引别人加入。当然如果你建了群之后才发现已经有了类似的群也没关系,如果那个群发展得很好你可以加入他们,把自己的群改个名字留作他用,如果发展的不好,那你就加油超过他们。
订阅该群和加入该群有什么区别?
所谓订阅是针对群而言的,就是不去群主页就能看到群里有没有新帖,有没有新回复,直接点“我的群”即可查看自己订阅的群的最新动态。新注册的用户默认订阅两个群:本校的群和新手上路群。 注意:订阅群和加入群不是一个概念,对于公开群,即使不加入只要订阅了也可以随时关注,对于加入的群如果不订阅的话必须进入群里才能看有没有新帖。订阅或取消订阅一个群在群主页的右上角可以看到对应的链接。
什么是优秀群?
在新手上路页面上有一些不错的群推荐给大家。所谓优秀的群,包含三个因素:优秀的管理团队,积极的群成员和良好的群氛围。其实推荐的这些群最关键的在于它们有了很难得的群众基础,因为一个人很少的群要壮大并非容易的事。而且这些群的首页里有不少友情链接,比如音乐天下里有xiaonei大部分音乐群和歌手群的链接。
如何成为一个群的管理员?
如果你对某个群的内容非常感兴趣,并认为自己可以有能力管理,可以在加入某个群之后,点击右上角的“申请管理员”,等待群主批准或拒绝,如果批准了,你将拥有这个群的管理员权限,包括:对帖子的操作(改主题、删主题、封主题、删回复、置顶及取消)、对成员的操作(踢人、封人、批准加入)、对群的操作(邀请成员、修改页面、增加分版等)。 管理员不仅意味着权利,也包含了责任,如果整天不管群里的事务,不维护秩序,不去邀请人,也不发有用贴,那将没有资格继续做管理员,不如腾出位子给更有热情的人。 另外每个群有一个特殊的管理员叫群主,一般是群的创始人,他可以解除其他管理员的职务,甚至可以删了整个群,所以需要更强的责任心,当群主因为毕业或其他原因无力管理群的事务时,可以将自己的位子让给其他管理员。
如何在群里上传文件?
发贴或回帖时,点击“上传图片或文件”,然后点“浏览”,在电脑上找到想要的文件,点“打开”,然后发表帖子即可。上传的限制是1M,除了把好玩儿的图片贴出来与大家分享外,还有就是储存自己必要的涂鸦板资源,包括图片、音乐、flash和鼠标等。一般的文件都不会超过1M,只有音乐文件可能超,通过软件压缩到32kbps或更低的wma格式即可。 最后提醒大家,大部分学校的群或一些大群都会有单独存放涂鸦板文件的帖子,新手上路群也有置顶贴供大家使用,所以请不要将文件随便跟到与之无关的某一贴里,这将是对发贴者和回帖者的不尊重,而且很有可能被管理员删除,所以为了您和他人的利益请按规定回帖。 现在已经开通了相册功能,如果是自己要用的照片,大家尽量贴到自己的相册,而不是群里,这样可以避免被管理员删掉。 上传的文件格式可以是:jpg、jpeg、png、bmp、gif、mpeg、avi、mpg、wav、m3u、wmv、asf、wm、asx、wma、mp3、swf、rm、rmvb、doc、xls、txt。
关于课程(此功能只对大学生用户开放)
如何给自己添加课程?
在页面左边我的课程里可以添加上过、在上和想上的课程,千万别小看这个,还是很有用的。如果你想上哪门课,可以查找上过这门课的同学,问他一些关于考试什么的问题,买二手课本也成。如果你在上某些课程,可以看看还有谁也在上,问问作业什么的,那天懒得上了还能看看有没有人帮着答个到签个名的。 如果本校课程列表中没有某门课程怎么办? 如果你确定你们学校有开这门课,那么你可以自己添加课程。
关于活动(此功能只对大学生用户开放)
如何创建活动?
你可以通过页面左边我的活动来创建新活动。
什么样的活动会被推荐在首页?
活动一旦被推荐,会出现在本地区首页随机播放,能够大大提高活动的影响力。被推荐的活动至少要满足以下条件:
活动名称有信息量;
发布者为星级用户(防止发布假信息欺诈);
有详细的活动计划和时间、地点等;
活动持续时间合理(如上自习一年内有效就会被视作不合理);
其它酌情处理。
举报设置
如果发现了任何有违规行为的用户、照片或留言,都可以在相应页面上找到举报链接(举报用户的链接在用户页面的下方)。点击链接后页面跳转到填写具体信息的举报页面,需要根据不同情况说明举报原因及描述违规用户的行为。管理员会在第一时间处理您的举报信息,处罚违规用户。
封禁投诉
什么样的情况会被封禁?
任何违反《校内网账号管理办法》的用户会被管理员警告或者封禁某种权限。被封禁的同学不再另行通知,将在使用功能时看到提示(包括封禁的原因和执行封禁的管理员)。
什么样的情况会被封杀账号?
任何违反《校内网账号管理办法》的封禁都是酌情处理,严重的都可能封杀账号。但以下三种情况直接封杀账号,①用机器人攻击网站;②在本站内任何地方上传或散播病毒;③使用恶意代码盗取cookie或者进行xss攻击(如果你看不懂这个描述,证明你不会这么作,hoho)。
打招呼
什么是打招呼?
所谓打招呼就像见面说声Hi一样。打招呼分为随机打招呼和向某个指定的同学打招呼。随机打招呼的链接在“首页”上方,每次消耗一个积分。
加好友
如何加好友?
在他的页面点击“加为好友”,等待对方确认,同意后系统会自动以对方名义给你发一封提醒信。如果仅仅因为对方漂亮或很帅就要加好友,倒也无可厚非,不过无论如何加之前最好向人家说一声,这是对自己的负责也是对他人的尊重,如果你主动加了人家以后却不去理人家,总有一天会被人遗忘的。〔校内网不鼓励大家加太多好友,就象你在现实中不会有上千个好友一样,太多的好友会使你真正的好友的信息被淹没,太多的好友等于没有好友〕
点击“我的好友”可以查看当前在线的好友,适时地问候和祝福是增强友谊的最好方式;点击“好友的日志”则可以方便查看对方更新的日志;点击“好友的相册”可以看到好友最近更新上载的照片。在“我的页面”有按学校分的好友列表,可以按学校迅速找到好友。
如何加为特别好友?
进入“我的好友”,点击好友头像右边的“加为特别好友”后,他将成为你的特别好友并显示在你页面的左侧。通过这个功能你可以介绍这位特别好友给大家。
隐私设置
如何保护我的隐私?
目前系统默认的隐私设置是:用户的页面只能被和自己加入相同网络的人浏览,而联系方式是只对好友开放。点击右上角的“隐私”可以修改相关设置。
用户可以对相册和日志分别指定开放程度,需要注意的是,点击右上角“隐私”设置日志相册相关隐私,只是对你的个人主页上的日志和相册模块是否在你的页面上显示进行设置,而你的单篇日志个单个相册的隐私需要你到日志和照片的编辑页面去设置。
此外,你可以把别的用户加入黑名单,被加入黑名单的人不能对你作任何操作,也看不了你的页面。
黑名单
如果有人骚扰你,或者发信到你的留言板砸场子,可以考虑将他加入黑名单,进入他的页面在页面左下角点击“加入黑名单”即可;反之可以通过“帐户信息-隐私设置-黑名单管理”将其移出。
加为黑名单后,对方不能对你进行任何操作包括无法看你的页面、给你发信或留言等。
如果你们原来是好友的话,你需要先和对方解除好友关系才能找到“加入黑名单”的链接。解除好友关系的方法是:在你的好友列表或者在对方页面左下角点击“解除好友关系”链接。
被很多人加入黑名单有什么后果?
如果某个同学被很多人加入黑名单,管理员将会考虑删除这个同学的账号。
什么是随便看看?
随便看看就像你在学校,公司里随便走走一样,可以看到不同的同学,同事。在在随便看看里你可以看到与你在同一网络中的用户,还可以用下拉框选择查看你加入的其他网络的用户。(但他们必须是与你同身份)。
XSS攻击如何实现以及保护Web站点免受跨站点脚本攻击
使用工具和测试防范跨站点脚本攻击. 跨站点脚本(XSS)攻击是当今主要的攻击途径之一,利用了Web站点的漏洞并使用浏览器来窃取cookie或进行金融交易。跨站点脚本漏洞比较常见,并且要求组织部署涵盖威胁建模、扫描工具和大量安全意识在内的周密的安全开发生命周期,以便达到最佳的XSS防护和预防。本文解释了跨站点脚本攻击是如何实现并且就如何保护企业Web应用免于这种攻击提供了建议。 跨站点脚本(XSS)允许攻击者通过利用因特网服务器的漏洞来发送恶意代码到其他用户。攻击者利用跨站点脚本(XSS)攻击向那些看似可信任的链接中注入恶意代码。当用户点击了链接后,内嵌的程序将被提交并且会在用户的电脑上执行,这会使黑客获取访问权限并偷走敏感数据。攻击者使用XSS来攻击受害者机器上的漏洞并且传输恶意代码而不是攻击系统本身。 通过用户输入的数据返回错误消息的Web表格,攻击者可以修改控制Web页面的HTML代码。黑客能够在垃圾信息中的链接里插入代码或者使用欺诈邮件来诱使用户对其身份产生信任。 例如攻击者可以发送带有URL的邮件给受害人,这个URL指向一个Web站点并且提供浏览器脚本作为输入;或者在博客或诸如Facebook、Twitter这样的社交网站上发布恶意URL链接。当用户点击这个链接时,该恶意站点以及脚本将会在其浏览器上运行。浏览器不知道脚本是恶意的并将盲目地运行这个程序,这转而允许攻击者的浏览器脚本使用站点的功能来窃取cookie或者冒充合法的用户来完成交易。 一些通常的跨站点脚本预防的最佳实践包括在部署前测试应用代码,并且以快速、简明的方式修补缺陷和漏洞。Web应用开发人员应该过滤用户的输入来移除可能的恶意字符和浏览器脚本,并且植入用户输入过滤代码来移除恶意字符。通常管理员也可以配置浏览器只接受来自信任站点的脚本或者关闭浏览器的脚本功能,尽管这样做可能导致使用Web站点的功能受限。 随着时代的进步黑客们变得更加先进,使用收集的工具集来加快漏洞攻击进程。这意味着仅仅部署这些通常的XSS预防实践是不够的,保护和预防过程必须从底层开始并持续提升。预防过程必须在开发阶段开始,建立在一个牢靠、安全的开发生命周期方法论之上的Web应用在发布版本中不太可能暴露出漏洞。这样以来,不仅提升了安全性,也改善了可用性而且缩减了维护的总体费用,因为在现场环境中修补问题比在开发阶段会花费更多。 威胁建模在XSS预防中也是重要的一个方面,应该纳入到每个组织的安全开发生命周期当中。威胁建模评估和辨识在开发阶段中应用程序面临的所有的风险,来帮助Web开发人员更好地理解需要什么样的保护以及攻击一旦得逞将对组织产生怎样的影响。要辨识一个特定应用的威胁级别,考虑它的资产以及它访问的敏感信息量是十分重要的。这个威胁建模过程将确保在应用的设计和开发过程中战略性地融合了安全因素,并且增强了Web开发人员的安全意识。 对于大型项目的Web开发人员来说,源代码扫描工具和Web应用漏洞扫描器是提高效率和减少工作量的通常选择。
xss注入漏洞产生的原因?xss注入过程步骤是什么?防范xss注入的方法有哪些
对于的用户输入中出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识,以后在开发的时候,每当有用户输入的内容时,都要加倍小心。请记住两条原则:过滤输入和转义输出。
一、什么是XSS
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。
在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
二、XSS攻击的主要途径
XSS攻击方法只是利用HTML的属性,作各种的尝试,找出注入的方法。现在对三种主要方式进行分析。
第一种:对普通的用户输入,页面原样内容输出。
打开http://go.ent.163.com/goproducttest/test.jsp(限公司IP),输 入:scriptalert(‘xss’)/script, JS脚本顺利执行。当攻击者找到这种方法后,就可以传播这种链接格式的链接 (http://go.ent.163.com/goproducttest/test.jsp?key=JSCODE)如:http: //go.ent.163.com/goproducttest/test.jsp?key=scriptalert(‘xss’) lt;/script,并对JSCODE做适当伪装,如:
http://go.ent.163.com/goproducttest/test.jsp?key=%3c%73%63%72%69%70 %74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,当其 它用户当点此链接的时候,JS就运行了,造成的后果会很严重,如跳去一个有木马的页面、取得登陆用户的COOKIE等。
第二种:在代码区里有用户输入的内容
原则就是,代码区中,绝对不应含有用户输入的东西。
第三种:允许用户输入HTML标签的页面。
用户可以提交一些自定义的HTML代码,这种情况是最危险的。因为,IE浏览器默认采用的是UNICODE编码,HTML编码可以用ASCII方式来写,又可以使用”/”连接16进制字符串来写,使得过滤变得异常复杂,如下面的四个例子,都可以在IE中运行。
1,直接使用JS脚本。
img src=”javascript:alert(‘xss’)” /
2,对JS脚本进行转码。
img src=”javascript:alert(‘xss’)” /
3,利用标签的触发条件插入代码并进行转码。
img onerror=”alert(‘xss’)” /
4,使用16进制来写(可以在傲游中运行)
img STYLE=”background-image: /75/72/6c/28/6a/61/76/61/73/63/72/69/70/74/3a/61/6c/65/72/74/28/27/58/53/53/27/29/29″
以上写法等于img STYLE=”background-image: url(javascript:alert(‘XSS’))”
三、XSS攻击解决办法
请记住两条原则:过滤输入和转义输出。
具体执行的方式有以下几点:
第一、在输入方面对所有用户提交内容进行可靠的输入验证,提交内容包括URL、查询关键字、http头、post数据等
第二、在输出方面,在用户输内容中使用XMP标签。标签内的内容不会解释,直接显示。
第三、严格执行字符输入字数控制。
四、在脚本执行区中,应绝无用户输入。