網站腳本注入掃描

Question

有誰知道任何腳本注入掃描儀是能夠檢測，如果你的網站已經被破壞（已注入應該只是沒有在那裏的JavaScript即）的？

• 更新：找到了我一直在尋找 - http://sucuri.net/

Answer 1

這是困難的：你需要測試你的應用程序的每個URL，並檢查特定的模式出現在回覆（這是很難有好的算法，可以理解這是好的和壞的JavaScript，或者你需要配置這個掃描器，這可能會很長很棘手）。

有一個稱爲mod security在服務器端的實時開源解決方案。它是一個Web應用程序防火牆：它可以檢測請求和/或響應中的特定模式。它作爲一個模塊在Apache上工作。這主要是一種生產解決方案，並且在開發期間不檢測注入。此外，您需要一些經驗來調整它（與客戶進行數據交換時的優點和錯誤），這可能會非常棘手，並且無法防範新的攻擊或更智能的攻擊（例如重新編碼字符）。

順便說一下，另一種解決方案是使用Content Security Policy，但它並不適用於所有瀏覽器（當然，目前沒有人可以等待Firefox 4 ;-)。

Answer 2

你不能。 因爲糟糕的腳本總是能夠在您的掃描儀功能到達瀏覽器時重寫/中和。
而您的服務器不再控制您網頁中發生的事情。

有一種簡單的方法可以保護您的網頁免受注入：使用iframe指向服務器上不同子域或端口的所有不可信內容。
你得到的沙盒iframe和阻止訪問父頁面的ressources同源策略。

那麼你可能要在I幀和主網頁之間的安全通信。
如果您定位的是現代瀏覽器或移動設備，則可以使用window.postMessage發送字符串消息。
對於舊的瀏覽器，有一些技巧here is a blog post with a solution

這並不能防止跨站腳本，但是這是你可以在父頁面一個祕密令牌解決的另一個問題。

Answer 3

開設了StopBadware組提供了一個免費的掃描服務。谷歌和Mozilla依靠這項服務爲他們的「這個網站可能會損害你的電腦」發出警告。

掃描服務可以在這裏找到：如何保護你的網站 http://www.stopbadware.org/home/reportsearch

詳情請看這裏： http://www.stopbadware.org/home/security