安全網址/應用

http://msdn.microsoft.com/en-us/magazine/hh708755.aspx

相關保障Asp.net應用程序，但有一點我是無法理解像我褐變網址http://www.abc.com/XSS.aspx?test=ok，如果我將其替換爲http://www.abc.com/XSS.aspx?test= alert（'hacked'）...該網站如何不安全或遭到黑客攻擊？我試圖在這裏指出的是它不會影響或影響網站？

我上面所提到的例子，在很多地方等。無論是討論安全提到，但不明白

來源

2013-08-03 F11

這不僅僅是一個_JavaScript_問題，如果_test's_值用於查找某些內容，用_SQL_表示，並且未正確清理，攻擊者可以對數據庫執行任何操作;添加/刪除/刪除/查看等 –

試想一下這個，如果你要輸出「測試」（值不正確轉義它爲HTML使用）在你的HTML頁面上，那麼你可能會注入任何JavaScript在您的網頁上！一些可能的利用可能是將背景改爲淫穢的甚至是將您的網頁重定向到一些騙局網站......實際上，您可能會欺騙某些人！

始終使用正確的ESCAPING來存儲或使用用戶提交的信息！

編輯：我說的轉義將是有用的，這樣人們就不會在您的數據庫中注入html或JS。這最終會導致每個用戶在其頁面上獲得注入的HTML/JS（如果注入的變量對每個人都是相同的），而不僅僅是注入它的用戶！

來源

2013-08-03 12:12:16 woofmeow

它有助於你瞭解它是如何危險@little？ – woofmeow

不，我不明白你的意思，因爲JS是客戶端語言。如果有人改變它，它會影響唯一正在改變/黑客攻擊它的用戶。什麼是正確的轉義？ – F11

如果網站包含敏感數據，攻擊者可以使用它將數據發送到其他地方，將Cookie發送到其他地方的當前會話，甚至可以「代表」用戶執行操作。如果他們真的想要，他們可以僞造一個用戶名和密碼框，或者讓用戶成爲使用ajax請求等的分佈式拒絕服務攻擊的一部分，等等。 –

安全網址/應用

回答

相關問題