IMG 嵌入式命令 - 当注入此命令的网页(如 Web 板)受密码保护且密码保护与同一域上的其他命令一起使用时,此功能有效。这可用于删除用户、添加用户(如果访问该页面的用户是管理员)、在别处发送凭据等……这是使用较少但更有用的 XSS 向量之一:
<IMG SRC="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode">
或者:
重定向 302 /a.jpg http://victimsite.com/admin.asp&deleteuser
我允许用户在论坛中发布图片。如何防止这种情况发生?
我正在使用 Java Struts,但欢迎任何通用答案。