<分区>
有没有人知道任何脚本注入(inject)扫描程序能够检测您的网站是否已被入侵(即被注入(inject)的 javascript 不应该存在)?
- 更新:找到了我要找的东西 - http://sucuri.net/
标签 javascript security web xss
<分区>
有没有人知道任何脚本注入(inject)扫描程序能够检测您的网站是否已被入侵(即被注入(inject)的 javascript 不应该存在)?
最佳答案
这很困难:您需要测试应用程序的每个 URL 并检查回复中是否存在特定模式(并且很难有一个好的算法来理解哪个是好的和坏的 javascript,或者您需要配置此扫描仪可能会很长且棘手)。
有一个名为 mod security 的实时开源解决方案在服务器端。它是一个 Web 应用程序防火墙:它可以检测请求和/或响应中的特定模式。它作为一个模块在 apache 上工作。这主要是一个生产解决方案,在开发过程中不检测注入(inject)。此外,您需要一些经验来调整它(与我们的客户交换数据时的好与坏),这可能很棘手,并且无法抵御新的攻击或更智能的攻击(例如重新编码字符)。
顺便说一下,另一种解决方案是使用 Content Security Policy但它并不是在所有浏览器中都可用(好吧,目前还没有,等待 Firefox 4 ;-)。
关于javascript - 网站脚本注入(inject)扫描,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3448382/