iT邦幫忙

2024 iThome 鐵人賽

DAY 6
0
Security

WEB仔也要懂資安嗎系列 第 6

6/Reflected Cross-Site Scripting

  • 分享至 

  • xImage
  •  

Reflected Cross-Site Scripting 也是一種常見的網站弱點,
如果開發人員沒有針對url帶入的參數做處理,直接把攻擊者加進來的參數帶回到受害者的網頁端執行,會造者受害者的網頁執行攻擊者的腳本,可能導致cookie被盜用、網頁內容被修改、執行下載惡意軟體等等情況發生

以hitcon揭露的這個弱點為例
https://zeroday.hitcon.org/vulnerability/ZD-2024-00825

攻擊者可以在url的參數加入JavaScript代碼,只要有人點擊或輸入攻擊者提供的url,就會在無意中執行攻擊者提供的JavaScript。

所以做為開發人員,絕對不能信任任何客戶端輸入的資訊,都要做好檢核才能避免自己與客戶遭到攻擊。


上一篇
5/Code Injection
下一篇
7/Apache Log4j Remote Code Execution (CVE-2021-44228)
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言