Reflected Cross-Site Scripting 也是一種常見的網站弱點,
如果開發人員沒有針對url帶入的參數做處理,直接把攻擊者加進來的參數帶回到受害者的網頁端執行,會造者受害者的網頁執行攻擊者的腳本,可能導致cookie被盜用、網頁內容被修改、執行下載惡意軟體等等情況發生
以hitcon揭露的這個弱點為例
https://zeroday.hitcon.org/vulnerability/ZD-2024-00825
攻擊者可以在url的參數加入JavaScript代碼,只要有人點擊或輸入攻擊者提供的url,就會在無意中執行攻擊者提供的JavaScript。
所以做為開發人員,絕對不能信任任何客戶端輸入的資訊,都要做好檢核才能避免自己與客戶遭到攻擊。
iThome鐵人賽
看影片追技術