0
正如問題所述,我在我的網站上發現了這個問題,但沒有逃脫,並且想知道在最壞的情況下有人能做些什麼?參數本身是一個搜索值$ _GET [「q」]。
A
回答
2
您正在離開您的網站以反映XSS攻擊。所以JavaScript可以傳入參數並在網站中使用。
https://www.owasp.org/index.php/Testing_for_Reflected_Cross_site_scripting_%28OTG-INPVAL-001%29
從以上這樣的攻擊的例子是沿着線:
http://example.com/index.php?q=<script>alert(123)</script>
+0
那有什麼風險?我的意思是,這隻會改變攻擊者的客戶端頁面,而不是所有的人。你甚至可以修改一個網站客戶端與許多擴展那裏。 – Agusfn
+0
@Agusfn有很多方法可能會導致問題。該頁面可以被操縱以顯示不正確的信息。釣魚攻擊可能會改變登錄表單。會話cookie可能因會話劫持而被盜用。 –
+1
@Agusfn他們被稱爲跨站腳本_attacks_有一個原因:他們是不好的。 –
相關問題
- 1. $ _GET ['user'] PHP中的安全漏洞
- 2. Drupal和HTML網站的安全漏洞是什麼?
- 3. MoPub安全漏洞
- 4. ReactJS中的安全漏洞或漏洞?
- 5. 的Acunetix安全漏洞
- 6. Cookieless SiteMap安全漏洞?
- 7. 的Nexus安全漏洞
- 8. Twitter @anywhere安全漏洞?
- 9. 網站已死。 「需要採取措施:Rails安全漏洞」
- 10. Plesk 10.4.4安全漏洞?
- 11. 堆檢測安全漏洞
- 12. 操作系統漏洞是否會影響數據庫安全?
- 13. PHP安全$ _GET參數
- 14. php「include()」安全漏洞?
- 15. AJAX登錄安全漏洞
- 16. Tinymce 4.0.28安全漏洞
- 17. 什麼是內存安全漏洞?
- 18. 什麼是一些網站通過文件上傳公開的安全漏洞?
- 19. iPhone應用程序中的安全漏洞有多安全?
- 20. MVC3 URL參數 - 避免惡意攻擊/安全漏洞
- 21. XAMPP for Windows中的安全漏洞?
- 22. 異步調用是否引入安全漏洞
- 23. 這個PHP代碼中是否有安全漏洞?
- 24. 這個規則是否足以保護這個安全漏洞?
- 25. HTML編碼是否阻止XSS安全漏洞?
- 26. 掃描網站漏洞的工具
- 27. RedirectMode在ASP.NET中的安全漏洞
- 28. 啓用CORS中的安全漏洞
- 29. 帶有Rails安全漏洞的FCKEditor
- 30. PHP「記住我」的安全漏洞?
當我使用q =文本'「> DROP%2520TABLE%2520users-- 它給一個錯誤: 不可接受! 在此服務器上找不到請求的資源的適當表示形式此錯誤由Mod_Security生成 但是我在使用mysqli_real_escape_string查詢之前轉義文本,爲什麼這個錯誤甚至發生? – Agusfn