XSS 主动点按钮有什么损害?
在交际 *** 里,大多操作都是经过点击按钮建议的。例如宣布留言,假设留言体系有 BUG,那么 XSS 就能主动点击发送按钮,发布带有恶意代码的留言。老友看了中招后,又传播给他们的老友,然后构成蠕虫分散。
那么,有没有一种机制,让「宣布按钮」有必要经过用户的「实在点击」才干完结,而无法经过脚本主动完成?
这个主意听起来如同不行行:假设宣布留言需求带上用户行为信息,那么 XSS 完全能够假造一份行为数据,后端底子无法辨认。
除非,用户在点击按钮时会发生一个「特别数据」,让后端校验它。
可是,XSS 也能够直接调用按钮元素的 click *** ,这样作用和用户点击依然相同。后端仍无法辨认,是脚本点的,仍是用户点的。
这么看来,咱们只能保护好这个「按钮元素」,让它无法被 XSS 访问到。例如,放在一个不同源的 iframe 里,这样就和 XSS 地点的环境隔离了!
不过,这样还不行。假设 XSS 破解了这个「特别数据」的生成规矩,那么即可自己假造一个,然后直接调用 HTTP 接口宣布留言。所以,咱们得找一个不行假造的硬标识。
事实上,有个很简单的 *** :咱们爽性让 HTTP 恳求也经过 iframe 发送。这样,后端经过 referer 即可检测恳求是否为 iframe 建议的。究竟,XSS 是无法假造 referer 的!
[1] [2] [3] 黑客接单网
DedeCMS 简称织梦CMS,当时最新版为 5.7 sp2,最近又去挖了挖这个CMS,发现过滤XSS的RemoveXSS函数存在缺点导致能够被绕过。 相关环境 源码信息:DedeCMS-V5.7-U...
一、CVE-2019-8373缝隙的开始剖析 2019年8月15日,趋势科技发表了他们发现的一同浏览器缝隙进犯事情。在检测到的进犯流量中,进犯者运用了cve-2019-8373这个缝隙来进犯IE浏览器...
...
前段时间做了南京邮电大学网络攻防渠道上面的标题,写了一个writeup之后,还有必要总结一下。因为做的标题都是web类型的,一切的标题都是运用PHP来写的,所以许多标题并没有调查到传统的如SQL注入...
Java Web 运用安全问题日益严峻。源代码审计能够防备于未然。源代码审计人员要经过实战审计练习,才干熟练掌握 Java Web 源代码安全思路和技巧。 前语 Web 运用是互联网运用的重要方式...
0x01 前语 材料来历: http://javaweb.org/?p=567 http://zone.wooyun.org/content/19379 http://drops.wooyun.or...