如果在没有XSS字符串转义情况下在页面中呈现一个参数,是否存在真正的安全漏洞问题?
如果在没有XSS字符串转义情况下在页面中呈现一个参数,是否存在真正的安全漏洞问题?
提问于 2012-10-19 10:17:19
背景:我们使用了一个工具来扫描我们的系统。它发现了一个XSS漏洞。扫描步骤: Injected item: POST: localeCountry <--这是一个枚举值,不能更改为XSS字符串并存储在服务器中。注入值:>'>alert("XSS警告!“)检测值:>'>alert("XSS警告!“)在攻击响应页面中检测到,该页面在链接内找到。
我认为这是一个无效的漏洞,因为注入的项目不会持久,也不会影响其他用户。最好避开所有参数,但我想知道这个漏洞是否有效?
问: 1.这个漏洞有没有让其他用户点击你的XSS陷阱?
回答 1
Stack Overflow用户
回答已采纳
发布于 2012-10-19 10:22:33
是的,这绝对是一个漏洞。另一个站点上的用户可以编写表单,如下所示:
<form action="http://example.com/vulnerable_service" method="POST">
<input type="hidden" name="localeCountry" value=">'>alert('XSS!');">
<input type="submit" value="Click me!!">
</form>当用户在攻击者的站点上单击该按钮时,他们会被重定向到您的站点,但他们的XSS代码将在您的站点的安全上下文中运行,并可能窃取cookie等。(当然,这篇帖子可以通过JavaScript自动发布,这让用户很难避免)。攻击字符串不需要存储在数据库中;XSS仅依赖于向用户回显的恶意字符串,而不进行转义。
这个故事的寓意是:你应该修补这个漏洞。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/12966459
复制相关文章
相似问题
腾讯云开发者
