完善的XSS 和UrL跳转漏洞及修复[网络技术]
本文“完善的XSS 和UrL跳转漏洞及修复[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
攻击者操纵利用程序的动态展示数据功效,在html页面里嵌入恶意代码.当用户浏览该页之时,这些嵌入在html中的恶意代码会被履行,用户浏览器被攻击者掌握,从而到达攻击者的特别目的
<"&chenmi=0&macval=&hmac">http://passport.wanmei.com/jsp/member/login.jsp?url='"><script>alert("xss");</script><"&chenmi=0&macval=&hmac=
http://passport.wanmei.com/fastreg/regs1.jsp?style='"><script>alert("xss");</script><"
<"&xynewcard=false&cbnewcard=false&format=s">http://passport.wanmei.com/fastreg/regs1.jsp?style=black&guid=&adid=&hdid=&refer=&spreadcode='"><script>alert("xss");</script><"&xynewcard=false&cbnewcard=false&format=s
修复筹划:
html escape转义变量输出
URL跳转:
Web利用程序接纳到用户提交的URL参数后,没有对参数做"可托任URL"的考证,就向用户浏览器返回跳转到该URL的指令
http://shop.wanmei.com/affiche.php?ad_id=3&uri=http://www.tjaote.com/blog/IMAGE/COMMON/qing.htm
修复筹划:
保证用户所点击的URL,是从web利用程序中生成的URL,所以要做TOKEN考证.
以上是“完善的XSS 和UrL跳转漏洞及修复[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |
- ·上一篇文章:我的Linux入门之旅
- ·下一篇文章:回头看安全职业
- ·中查找“完善的XSS 和UrL跳转漏洞及修复”更多相关内容
- ·中查找“完善的XSS 和UrL跳转漏洞及修复”更多相关内容