2 u012848795 u012848795 于 2014.09.23 15:58 提问

漏洞 跨站点脚本编制

严重性: 高
测试类型: 应用程序
有漏洞的URL: http://xxxxxxxx/mzj_site/infoMain.do (参数 = img)
修复任务: 过滤掉用户输入中的危险字符

响应中的验证:
• frameborder="0" scrolling="no" src="/mzj_site/infoMain_left.do?img=-1">alertalert<br> (28635)(28635)&bid=-1200">
推理:
测试在响应中成功嵌入脚本,并且一旦在用户浏览器中加载页面,就会执行此脚本。这意
味着应用程序易受到跨站点脚本编制攻击

Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!
其他相关推荐
IBM Security Appscan漏洞--存储的跨站点脚本编制
未对用户输入正确执行危险字符清理 ,添加XSS过滤器
基于 DOM 的跨站点脚本编制
原因:在代码中添加了script 代码段 Hello! Your age is: var position=document.URL.indexOf("age=")+4; document.write(document.URL.substring(position,document.URL.lengt
网站安全之存储型跨站脚本编制
1.  说明问题      也许读者看到博客的标题,会觉得有点疑惑。什么叫存储型跨站脚本编制。这个名字有点高大上了。其实也是,我们在网站的有些文本框中输入javaScript的代码或html的标签代码,我们本想作为信息存储,但是这样的文本却成为了代码执行出来。可能这样说读者会有点迷惑。我们来看下面的一个例子。 1)        在系统的添加信息的文本框中输入” . 2)        这条
XXx外网检测到目标URL存在基于DOM的跨站脚本漏洞
为了配合XXx门户网站等级保护,xxx购置了xx的漏洞扫描服务器。经过扫描,发现我们外网WEB服务器上有一个检测到目标URL存在基于DOM的跨站脚本漏洞,具体请见附件。咨询过xx技术人员,他们的说法是外网WEB上的部关代码不符合规范。 这个外网算起来很老了,维护阶段出现这种东西,有点晕,毕竟不是自己写的代码。 以前很少去注意这些东西,这个到底是怎么回事呢。在网上找了篇文章,有什么疑问的话会
跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞
主要是通过在url或参数中添加脚本如: 1、URL中添加alert(1) 2、参数value=。 添加一个过滤器对特殊字符进行拦截
跨站点脚本编制
“跨站点脚本编制”攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web 站点交互时假冒这位用户。  这个攻击立足于下列事实:Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入(通常是参数值)返回,而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入,浏览器便可以执行输入中的代码。 因此,有可能形成指向站点的若干链接,且其中一个参数是
SQL 盲注、SQL 注入、跨站点脚本编制可能解决方案
跨站       3.点脚本编制 详细信息 有多种减轻威胁的技巧: [1] 策略:库或框架 使用不允许此弱点出现的经过审核的库或框架,或提供更容易避免此弱点的构造。 可用于更轻松生成正确编码的输出的库和框架示例包括 Microsoft 的 Anti-XSS 库、OWASP ESAPI 编码模块和 Apache Wicket。 [2] 了解将在其中使用数据的上下文,以及预期的编码
跨站点脚本编制描述及解决方法
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2   简介: 跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获
struts 跨站点脚本漏洞2
解决方案:sevlet配置过滤器 框架原来使用过滤器是Acegi Filter Chain Proxy。 自己新添加了一个过滤器,同样过滤/*请求 1.首先配置web.xml,添加自己的拦截器setCharacterEncoding<filter> <filter-name>Acegi Filter Chain Proxy</filter-name> <filter-class
IBM Rational AppScan:跨站点脚本攻击深入解析
IBM Rational AppScan:跨站点脚本攻击深入解析    了解黑客如何启动跨站点脚本攻击(cross-site scripting,XSS),该攻击危害(及不危害)什么,如何检测它们,以及如何防止您的 Web 站点和站点的访问者受到这些针对隐私和安全的恶意入侵。 在跨站脚本攻击中会发生什么 跨站脚本攻击(cross-site scripting,简称