A7:2017 跨站脚本(XSS)
漏洞描述:
当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建HTML或JavaScript 的浏览器API 更新现有的网页时,就会出现XSS 缺陷。
漏洞影响:
常见危害为窃取凭证为主。该漏洞的危害性由JavaScript代码决定,可参见相关XSS平台或BEEF工具。
检测场景:
基于不同标签的检测命令:
1、<script>alert('1')</script>
2、<img src='1' onerror="alert('1')"/>
3、<input type="text" value="x" onmouseover="alert(1)"/>
4、<iframe src = "javascript:alert(1)"> </ iframe>
5、<a href ="javascript:alert(1)"> x </a>
预防思路:
XSS防护思路:规范输入,编码输出。
规范输入:(前台)字符过滤:黑白名单
(后台)加强判断:验证字符合理性
编码输出:转义