내 회사는 특정 응용 프로그램의 모든 보안 문제를 해결할 작업을 제공했습니다. 보안 검색에서 크로스 사이트 스크립팅 오류가보고되었습니다. 이 오류는 다음과 같은 입력 필드에있다 :숨겨진 입력을 사용한 교차 사이트 스크립팅
<input type="hidden" name="eventId" value="${param.eventId}"/>
보안의 보고서는 매우 상세한하지 않았다, 그러나 그들은 다음과 같은 악성 코드를 포함하여 위의 태그가 페이지에 POST 요청을 할 수 있다고 :
나는 "해커가 될"및 취약점을 보여주기 위해 노력하고<input type="hidden" name="eventId" value=""><sCrIpt>alert(83676)</sCrIpt></value>
: 페이지를 다시로드, 그것은 것입니다 때 다음
eventId=%22%3e%3csCrIpT%3ealert(83676)%3c%2fsCrIpT%3e
그리고 그 . 그러나 나는 그곳에서 스크립트를 어떻게 관리하는지 알 수 없다. 나는 그들이 양식에 대한 GET 요청의 URL 매개 변수로 포함시키는 것으로 추측하지만, 직접 시도 할 때 403 오류가 발생합니다. 누구든지 취약점을 보여줄 수있는 방법을 알고 있습니까?
사이트에 XSS 관련 질문이 많이 있지만이 주제에 대해서는 아무도 알지 못합니다.
방법 URL에 추가 했습니까? 다른 매개 변수는 어디에 있습니까? – Erlend