未过滤HTML代码漏洞

由于页面未过滤HTML代码,攻击者可通过精心构造XSS代码(或绕过防火墙防护策略),实现跨站脚本攻击等。

可带来如下危害:

  1. 恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash利用应用的漏洞,从而获取其他用户信息;
  2. 攻击者能盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容。

修复建议:

  1. 严格过滤用户输入的数据。
  2. 参考跨站脚本漏洞修复方案。

results matching ""

    No results matching ""