背景:我们使用了一个工具来扫描我们的系统。它发现了一个 XSS 漏洞。扫描步骤: 注入项目: POST: localeCountry <-- 这是一个枚举值,不能更改为 XSS 字符串并存储在服务器中。注入值:>'>alert("XSS warning!") 检测值:>'>alert("XSS warning!") 在攻击响应页面中检测到,在链接中找到。
我认为这是一个无效漏洞,因为注入的项目不会持久或影响其他用户。最好转义所有参数,但我想知道这个漏洞是否有效?
问题: 1. 这个漏洞有没有让其他用户点击你的XSS陷阱?
是的,这绝对是一个漏洞。另一个站点上的某个人可以编写一个表单,如下所示:
<form action="http://example.com/vulnerable_service" method="POST">
<input type="hidden" name="localeCountry" value=">'>alert('XSS!');">
<input type="submit" value="Click me!!">
</form>
当用户单击攻击者站点上的该按钮时,他们将被重定向到您的站点,但他们的 XSS 代码将在您站点的安全上下文中运行,并可能窃取 cookie 等。(当然,POST 可以通过 JavaScript 自动进行,用户很难避免)。攻击字符串不需要存储在数据库中;XSS 仅依赖于向用户回显的恶意字符串而不转义。
故事的寓意:你应该修复那个洞。