目录介绍：

• 1、如何正确防御xss攻击
• 2、请明节的来历30字。
• 3、拼音字母翻译成中文
• 4、2.白光扫描用什么软件逆向建模
• 5、送分~!DREAMWEAVER的问题
• 6、详细讲解如何留后门

如何正确防御xss攻击

传统防御技术

2.1.1基于特征的防御

传统XSS防御多采用特征匹配方式，在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击，采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击。

2.1.2 基于代码修改的防御

和SQL注入防御一样，XSS攻击也是利用了Web页面的编写疏忽，所以还有一种方法就是从Web应用开发的角度来避免：

1、对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

2、实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

3、确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag(没有javascript)，去掉任何对远程内容的引用(尤其是样式表和javascript)，使用HTTP only的cookie。

当然，如上方法将会降低Web业务系统的可用性，用户仅能输入少量的制定字符，人与系统间的交互被降到极致，仅适用于信息发布型站点。

并且考虑到很少有Web编码人员受过正规的安全培训，很难做到完全避免页面中的XSS漏洞。

扩展资料：

XSS攻击的危害包括

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

受攻击事件

新浪微博XSS受攻击事件

2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。

大量用户自动发送诸如：

“郭美美事件的一些未注意到的细节”，“建党大业中穿帮地方”，“让女人心动的100句诗歌”，“这是传说中的神仙眷侣啊”等等微博和私信，并自动关注一位名为hellosamy的用户。

事件的经过线索如下：

20:14，开始有大量带V的认证用户中招转发蠕虫

20:30，某网站中的病毒页面无法访问

20:32，新浪微博中hellosamy用户无法访问

21:02，新浪漏洞修补完毕

百度贴吧xss攻击事件

2014年3月9晚，六安吧等几十个贴吧出现点击推广贴会自动转发等。并且吧友所关注的每个关注的贴吧都会转一遍，病毒循环发帖。并且导致吧务人员，和吧友被封禁。

参考资料：

XSS攻击-百度百科

请明节的来历30字。

在春秋时期有个晋文公 他的一个臣子在他落难时，割自己的肉来给他解饥，后来在文公成为春秋5霸的时候却隐居山林，不要封赏。文公寻他的时候放火烧山，他宁死也不出来，后来在他死去的树上，发现他留下的一首诗，主要是劝文公廉政的。最后一句是这样的：“清明复清明”。故此，把那天定为清明节，全国都吃冷食。不得生火

拼音字母翻译成中文

whkxwzkldxssdrsn,

我很（好）开心我在kldxssd（xssd=学生时代？）认识你，

zzgzmdxnl,

（在这个做梦都想你l ？）

xxnxhw,

谢谢（相信）你喜欢我，

xxnhxhw,

谢谢（相信）你很（会/还）喜欢我，

wyyxghdchnzyqdcj,

我也有想过很多次和你在一起的曾经，

mcyxwdhx,

每次yxwdhx，

whjdhxf,

我会（还）觉得很（好）幸福，

k《wj》dsh,

看《wj》的时候，

wzhxqn,

我只（只会）想起你，

rgnsxb,

如果你s（是？）xb，

wshz,

我守候在（着），

（我是hz？），

wydbhxhznydxxb,

我一定不会象（小）孩子那样dx（担心？）xb，

我一定不会象（小）孩子那样dxxb（的习性吧？），

dbqxb,

对不起xb（xb是人名？），

whhxbyqxfxq!

我还好像（想）byqxfxq！

qswxlyddxygndnc,

其实我心里有点担心ygndnc（ndnc=你的那次？），

dwmgn,

但我们gn / 但我没跟你，

yxhgn,

也许会gn / 也许会跟你，

yxbhgn.

也许不会gn / 也许不会跟你，

【呼～译成这样，自己都佩服自己～】

2.白光扫描用什么软件逆向建模

逆向设计过程是指设计师对产品实物样件表面进行数字化处理(数据采集、数据处理)，并利用可实现逆向三维造型设计的软件来重新构造实物的三维CAD模型（曲面模型重构），并进一步用CAD/CAE/CAM系统实现分析、再设计、数控编程、数控加工的过程。逆向设计通常是应用于产品外观表面的设计。

送分~!DREAMWEAVER的问题

select是数据查询语言，其语法如下：

SELECT 列名的列表

[INTO 新表名]

[FROM 表名与视图名列表]

[WHERE 条件表达式]

[GROUP BY 列名的列表]

[HAVING 条件表达式]

[ORDER BY 列名1[ASC|DESC]，列名2[ASC|DESC]， ．．． 列名n[ASC|DESC]]

简单地可以说明为，按照指定的条件由指定的表中查询出指定的列。

如果你想知道参数的用法，我再给你传。

上面语句只能查看一个表，当我们要查看多个表时就要把多个表联在一起变成一个表，inner join 是内联接的关键词，是按照一定条件把两个表联在一起，联接后的表包含两个表的所有列(两个表进行笛卡尔积),但只保留两个表中符合条件的行,用法如下：

SELECT 列名的列表

FROM 表1 inner join 表2 on

表1.列名=表2.列名

例：

有三个表：

销售商表（XSS）

XSBH XSNC DQ FZR DH BZ

000001 广电公司 南京 张三 11111111 NULL

000002 家电市场 无锡 李四 22222222 NULL

000003 电器商场 上海 王五 33333333 NULL

000004 小家电商场 南京 赵六 44444444 NULL

产品表（CP）

CPBH CPMC JG KCL

100001 彩色电视机 3000 10

100002 洗衣机 1200 20

100003 冰箱 1800 12

100004 电热水器 2000 30

100005 太阳能热水器 2200 8

100006 1匹空调 1800 5

100007 1.5匹空调 2400 20

100008 2匹空调 3800 6

100009 音响 3500 3

100010 台式电脑 6000 5

100011 MP3 900 10

100012 复读机 200 20

销售产品表（XSCP）

CPBH XSBH XSRQ SL JE

100001 000001 2004-3-10 1 3000

100001 000003 2004-5-20 2 6000

100002 000001 2004-3-12 1 1200

100002 000002 2004-2-22 2 2400

100002 000003 2004-5-29 3 3600

100010 000004 2004-6-15 4 4500

100001 000001 2004-3-10 1 3000

100001 000003 2004-5-20 2 6000

100002 000001 2004-3-12 1 1200

100002 000002 2004-2-22 2 2400

100002 000003 2004-5-29 3 3600

100010 000004 2004-6-15 4 4500

（1）查询每种产品的所有数据。（产品表的所有列）

Select * from CP

（2）查询每种产品的价格和库存量。（产品表的JG ,KCL两列）

Select JG ,KCL from CP

（3）查询XSBH 为000001的销售商的地区和电话。

Select DQ,DH from XSS where XSBH=‘000001’

上面是对一个表操作，当我们要同时查看两个表的内容如：

（4）查询已销售产品的价格、库存量、销售日期和销售数量。

SELECT CP.JG,CP.KCL,XSCP.XSRQ,XSCP.SL FROM CP inner join XSCP on CP.CPBH=XSCP.CPBH

注：（1）已销售产品指XSCP表中记录的产品

（2）CP.JG表示：CP表的JG列，如果JG列只存在于一个表中，可省略CP.

所以还可以写成：

ELECT JG,KCL,XSRQ,SL FROM CP inner join XSCP on CP.CPBH=XSCP.CPBH

详细讲解如何留后门

1.进入站点,查看目录权限,可不可以写入和跨目录 2.查看admin,data,inc,upload等目录内部信息,或者站少人访问的直接站点根目录留. 3.免杀小马一般会在upload上传目录或者图片目录上传,有时候直接就在主页index里面包含跳转上传隐藏代码,大马一般不在根目录,站长得到的地方出现,会利用另名来迷惑站长,比如css.asp,或者inc2.asp,ad1.asp这些放在特定文件夹里,而遇上懒的站长,就会把这个shell帮忙永久保存了,呵呵..用wenshell扫描器一般可以将大部分的webshell扫出来,除非经过特殊免杀代码转换,或者利用iis6.0的解析漏洞,比如123.asp;123.jpg,win2000系统会默认为图片格式,但是默认的win2003iis6不会,直接解析成脚本执行,会导致webshell的出现,在动态单页面里包含一句话提交又或者利用include包含大法执行,也是查不到后门的方法,大伙可以去挖挖.好了,简单讲到这我们从光明的站长说吧,站点没出现什么访问问题,不代表没问题,oday,代码漏洞,注入,xss,nc上传等分分钟都可以使站点遭人种webshell 1.前面提到基本的方法就是shell扫描器,还有就是利用文件对比和旧的备份资料做对比,如果没有备份也没关系,直接把最新的文件列出来,用dreamwear查看代码,一般大牛用它来挖洞的噢..呵呵. 2.页面注入安全要防注,用户帐号权限要限制,目录脚本执行也要限制,一般上传图片的就禁止执行,其他目录禁止写入,删掉ws组建和cmd,除非是自己维护站点的,否则管理后台全部改名,且进行网段ip限制,自己的固定ip才可以登录后台. 3.网站如果用过编辑器,比如ewebeditor,fck这些的,把无相关的删掉,编辑器登录后台地址删掉,编辑器后台管理员帐户密码复杂化,去除带有可上传asa,asp,asasp,phpaspx,这些后缀,数据库设置为只读. 4.对可疑html清除包含漏洞,上面说过,可以包含上传代码运行呢.就像这样:index?id=nhs8.com,就可以进入上传画面. 5.还是那句话,经常备份,升级网页程序,扫描,查看记录.