1
내 응용 프로그램이 침투 테스트되었습니다.크로스 사이트 스크립팅 - 숨겨진 양식 필드
플래그가 지정된 XSS 항목 중 하나는 숨겨진 양식 필드를 사용하여 브라우저/검색 화면에 레코드 ID를 저장 한 다음이 ID를 사용하여 전체 레코드를 여는 것입니다. (게시물을 통해)
이것이 XSS 공격에 대해 고심하고 있습니다. 내가 놓친 게 있니?
A
답변
2
해당 값을 변경하여 양식을 제출하면 어떻게됩니까?
실제 데이터베이스 ID가 노출되면 다른 사용자의 DB 행에 액세스 할 수 있습니다.
데이터베이스 ID를 노출하고이를 SQL 쿼리에서 사용하는 경우 SQL 쿼리가 해당 ID에 대해 바인드 변수를 사용하거나 (올바르게 이스케이프 처리하지만 바인드 변수가 더 좋음) 반드시 확인하고 비즈니스 규칙 검사를 수행해야합니다 id에 해당하는 행이 현재 응용 프로그램 사용자에게 실제로 표시되어야하는지 확인하십시오.
이것은 실제로 XSS 문제는 아니지만 확실히 보안 문제입니다.
0
숨겨진 필드의 입력을 필터링하지 않을 수도 있습니다. 숨겨진 필드 자체는 xss 공격 벡터가 아닙니다.
0
는. 항상 확인하는 사용자와 필터 입력을 제안 모르는 그것을 테스트하기 위해 시도하지 않는 한 보안의 잘못된 감각을 전달하지 않아? "당신이 있는지 '없음 XSS 공격 벡터이다.숨겨진 필드의 입력을 필터링하지 않을 수도 있습니다. 숨겨진 필드 자체는 xss 공격 벡터가 아닙니다.
관련 문제
- 1. 크로스 사이트 스크립팅?
- 2. 크로스 사이트 스크립팅 서식
- 3. JavaScript의 크로스 사이트 스크립팅
- 4. XMLHttpRequest 크로스 사이트 스크립팅?
- 5. 크로스 사이트 스크립팅
- 6. 크로스 사이트 스크립팅 - 쿠키 암호화
- 7. 크로스 사이트 스크립팅 공격, 문제
- 8. 숨겨진 입력을 사용한 교차 사이트 스크립팅
- 9. 숨겨진 DIV의 양식 필드
- 10. 크로스 사이트 양식 LDAP
- 11. 마이크로 소프트 안티 - 크로스 사이트 스크립팅 라이브러리
- 12. JavaScript - 크로스 사이트 스크립팅 및 상위 창
- 13. JavaScript - 크로스 사이트 스크립팅 - 사용 권한이 거부되었습니다.
- 14. 는 크로스 사이트 스크립팅 내 고객의
- 15. 숨겨진 필드 숨겨진 필드
- 16. RailsAdmin - 숨겨진 양식 필드 및 레이블
- 17. ASP.NET MVC : 숨겨진 양식 필드 내보기에서 포스트
- 18. Symfony 2 숨겨진 양식 필드 텍스트
- 19. 크로스 사이트 바람둥이 양식 게시가 작동하지 않습니다.
- 20. 크로스 사이트 스크립팅 공격 및 동일한 출처 정책
- 21. 크로스 사이트 스크립팅 서버 측 클래식 ASP 파일에서 자바 스크립트
- 22. 크로스 사이트 스크립팅 (getJSON) 및 플리커 예제의 차이점
- 23. pci complience를 전달하려고하지만 크로스 사이트 스크립팅 문제가 발생했습니다.
- 24. 동일한 서버이지만 다른 포트에서 XMLHttpRequest 크로스 사이트 스크립팅
- 25. 서블릿의 숨겨진 필드 목록
- 26. jQuery 크로스 도메인 iframe 스크립팅
- 27. 이미지의 교차 사이트 스크립팅
- 28. Gridview 숨겨진 필드 - JavaScript를 사용하여 숨겨진 필드 값을 얻으려면 어떻게해야합니까?
- 29. 브라우저 자동화 및 교차 사이트 스크립팅
- 30. JQuery와 선택기 숨겨진 필드
당신은 숨겨진 입력 값을 올바르게 벗어나려고합니까? – anthares
그것과 id, 그렇습니다 ..... – AJM