漏洞的修补:
当我们输入上面的恶意数据,经过preg_replace函数转换后,会将双引号表示字符串的实际意义进行转义,而将其作为字符串的一部分进行输出,从而造成XSS攻击,如下图:
因此我们需要将preg_replace转换后的变量进行转化,将转义字符’’进行过滤.
安全建议:
1 手动安装官方最新的补丁
2 该攻击对加入Nevel系统防护的网站,攻击被有效拦截,下面是利用攻击代码的效果图,如下:
长按识别二维码
