严重性: 高
测试类型: 应用程序
有漏洞的URL: http://xxxxxxxx/mzj_site/infoMain.do (参数 = img)
修复任务: 过滤掉用户输入中的危险字符
响应中的验证:
•
frameborder="0" scrolling="no" src="/mzj_site/infoMain_left.do?img=-1">alertalert<br>
(28635)(28635)&bid=-1200">
推理:
测试在响应中成功嵌入脚本,并且一旦在用户浏览器中加载页面,就会执行此脚本。这意
味着应用程序易受到跨站点脚本编制攻击