《顺德门户采购网跨站漏洞-20160227-初稿》.docxVIP

PAGE7 / NUMPAGES7 顺德门户采购网 跨站漏洞 解决方案建议 珠海政采软件技术有限公司 2013年2月27日 目录  TOC \h \z \t 标题 1,1,标题 2,2,标题 3,3  HYPERLINK \l _Toc349730385 第1章 方案导读  PAGEREF _Toc349730385 \h 3  HYPERLINK \l _Toc349730386 1.1 方案索引  PAGEREF _Toc349730386 \h 3  HYPERLINK \l _Toc349730387 1.2 项目名称  PAGEREF _Toc349730387 \h 3  HYPERLINK \l _Toc349730388 1.3 方案读者  PAGEREF _Toc349730388 \h 3  HYPERLINK \l _Toc349730389 1.4 方案编写单位  PAGEREF _Toc349730389 \h 3  HYPERLINK \l _Toc349730390 1.5 名词解释  PAGEREF _Toc349730390 \h 3  HYPERLINK \l _Toc349730391 第2章 跨站漏洞问题分析  PAGEREF _Toc349730391 \h 4  HYPERLINK \l _Toc349730392 2.1 概括  PAGEREF _Toc349730392 \h 4  HYPERLINK \l _Toc349730393 2.2问题分析  PAGEREF _Toc349730393 \h 4  HYPERLINK \l _Toc349730394 2.1.1 工具检查  PAGEREF _Toc349730394 \h 4  HYPERLINK \l _Toc349730395 2.1.2 代码检查  PAGEREF _Toc349730395 \h 4  HYPERLINK \l _Toc349730396 2.1.3 总结问题  PAGEREF _Toc349730396 \h 4  HYPERLINK \l _Toc349730397 第3章 解决方案建议及风险  PAGEREF _Toc349730397 \h 4  HYPERLINK \l _Toc349730398 3.1 概括  PAGEREF _Toc349730398 \h 4  HYPERLINK \l _Toc349730399 3.2 过滤器  PAGEREF _Toc349730399 \h 5  HYPERLINK \l _Toc349730400 3.3 调整代码  PAGEREF _Toc349730400 \h 5  HYPERLINK \l _Toc349730401 3.4 总结  PAGEREF _Toc349730401 \h 5  HYPERLINK \l _Toc349730402 第4章 工作计划  PAGEREF _Toc349730402 \h 5  方案导读 方案索引 本项目方案建议书是为响应顺德门户采购网跨站漏洞解决方案建议编制而成的文件，为使各位领导及评委专家更好地阅读本文件，特准备以下方案导读表，以便于快速查找和定位文件中的重要和关键内容。 项目名称 《顺德门户采购网》，以下简称“采购网”。 方案读者 项目办相关人员、产品经理、部门经理、项目经理、开发工程师。 方案编写单位 珠海政采软件技术有限公司 名词解释 跨站漏洞(XSS)：是由于程序员在编写程序时对一些变量没有做充分的过滤，直接把用户提交的数据送到SQL语句里执行，这样导致用户可以提交一些特意构造的语句 一般都是带有像JavaScript等这类脚本代码。在这基础上，黑客利用跨站漏洞输入恶意的脚本代码，当恶意的代码被执行后就形成了所谓的跨站攻击。 跨站漏洞问题分析 概括 顺德项目已经上线试运行一段时间了，用户在使用过程中发现了系统一些性能上的问题和安全问题（这些问题是客户这边请安全评估公司评估出来的问题）。 2.2问题分析 工具检查 ?顺德项目组通过工具对网站应用漏洞扫描检测，形成《顺德财税局项目二期系统安全报告.pdf》报告文件。 代码检查 根据《顺德财税局项目二期系统安全报告.pdf》报告文件，发现在SQL语句编写中没有针对敏感信息进行有效过滤及下载文件时有隐患。 总结问题 ?跨站脚本是最为常见的一类Web安全漏洞。它会导致用户敏感信息的丢失。Web开发人员