跨站点脚本 - 隐藏表单域
问题描述:
我的应用程序正在进行渗透测试。跨站点脚本 - 隐藏表单域
被标记的XSS项目之一是Im使用隐藏的表单字段在浏览器/搜索屏幕中存储记录ID,然后使用ID打开完整记录。 (通过邮件)
我很努力地看到这是一个XSS攻击。我错过了什么吗?
答
如果表单提交时该值发生了变化,会发生什么情况?
暴露实际的数据库ID有风险,允许访问属于其他用户的数据库中的行。
如果你正在公开一个数据库ID并在SQL查询中使用它,你应该确保SQL查询为该ID使用一个绑定变量(或正确地转义它,但绑定变量更好),并进行业务规则检查以确保对应于该id的行实际上应该对当前应用程序用户可见。
这是不是一个真正的XSS问题,但它绝对是一个安全问题。
答
如果您不过滤隐藏字段的输入,则可能有一种可能。隐藏字段自身不是xss攻击媒介。
答
一种可能性可以,如果你不过滤隐藏字段的输入。隐藏字段自身不是xss攻击媒介。
你确定“不XSS攻击媒介“?不达意安全的错误感觉,除非你不知道,也没有试图对它进行测试。始终建议用户验证和过滤输入。
你是否正确地逃脱了你隐藏的输入值? – anthares 2010-02-23 13:13:37
它和id,但是是..... – AJM 2010-02-23 13:19:11