今天程序被检测出有漏洞,面临跨站脚本攻击( XSS )的风险
具体代码是:
String name=request.getParameter("name");//获取 name 参数
out.println(name);//直接打印 name 参数到前端
是的,获得的 name 参数未做任何过滤直接打印在前端页面
但是 name 参数不涉及任何数据库储存以及后台程序操作,就是上面这两行而已,仅仅是获取 GET/POST 来的 name 参数并打印在提交者的前台页面
漏洞提交者给出 xxx.jsp?name=<script>alert(1)</script> 这样的 URL 来证明漏洞存在,访问该 URL 也的确在前台直接执行了 alert(1) 的 JS 代码。
当然不是为这种考虑不周不安全的代码辩护
只是想知道,这种情况下风险到底在哪里?具体这个漏洞又能如何被利用呢?
具体代码是:
String name=request.getParameter("name");//获取 name 参数
out.println(name);//直接打印 name 参数到前端
是的,获得的 name 参数未做任何过滤直接打印在前端页面
但是 name 参数不涉及任何数据库储存以及后台程序操作,就是上面这两行而已,仅仅是获取 GET/POST 来的 name 参数并打印在提交者的前台页面
漏洞提交者给出 xxx.jsp?name=<script>alert(1)</script> 这样的 URL 来证明漏洞存在,访问该 URL 也的确在前台直接执行了 alert(1) 的 JS 代码。
当然不是为这种考虑不周不安全的代码辩护
只是想知道,这种情况下风险到底在哪里?具体这个漏洞又能如何被利用呢?
2
Select Language