从攻击者角度来阐述如何防御黑客攻击

核心提示： 看到了吧 我们成功的偷到管理员的密码了，怎么样?你会利用了么??现在大家都知道怎样去利用XSS漏洞，从攻击者角度来阐述如何防御黑客攻击(7)，那也应该要学习学习怎样去修补漏洞!有攻就有防嘛，呵呵!这里我简单说一下修补漏洞利用replace()函数就可以了，并没有任何的利用价值的， 所以在寻

看到了吧 我们成功的偷到管理员的密码了。怎么样?你会利用了么??

现在大家都知道怎样去利用XSS漏洞，那也应该要学习学习怎样去修补漏洞!有攻就有防嘛，呵呵!这里我简单说一下修补漏洞利用replace()函数就可以了。可能有些初学者不太了解replace()函数怎样去利用。例如这段程序，未修补的代码：

rs("title")=trim(request.form("title"))

修补后的代码：

Rs("title")=replace(trim(request.from("title")"<","//"))

如果从客户端获取的title变量出现<就自动替换为//。那么测试语句就无法闭合了!当然还是可以转换为其它语句进行突破的，这只是演示怎样用replace函数简单的去过滤一些语句!我想，到这里大家也应该怎样去修补漏洞了吧!

笔者再说一下关于XSS的一点东西，可能有些朋友看完这篇文章以后会认为所有的跨站都是可以这么利用的。其实不然，有些跨站就真的只是能弹个窗口，但是他并不写入数据库。这样是没有任何意义的，我们来拿百度做实验，打开百度以后选择MP3然后点击音乐掌门人在搜索框内输入★ ★，成功弹出fish的框框，如图11

虽然成功的弹出了对话框，但是这个并不能算是真正意义上的跨站，因为他并没有写入数据库，除了能糊弄一些不懂的人之外，并没有任何的利用价值的。 所以在寻找跨站漏洞以及利用的过程中更多的是需要认真观察。寻找任何可利用的蛛丝马迹。