owasp xss
关于XSS漏洞扫描的文章很多。 在本文中,我们将尝试进一步介绍如何修复它们。
为了说明从最初检测到提供修复的整个过程,我们将使用一个非常简单的应用程序,其中包括两个JSP页面:一个是信用卡交易的付款表格,其中包含一些可利用XSS的代码。 另一个已修复了这样的代码:后者只是前者的修补版本。 我们将看到攻击者如何利用当前的XSS漏洞欺骗用户,以收集其信用卡数据。
- (下载易受攻击的应用程序 )
XSS攻击
XSS攻击的目标是由用户Web浏览器执行注入的脚本。 在大多数情况下,用户甚至不知道发生了什么。 有关XSS的更多信息,请查看OWASP XSS Attack Description 。
让我们看看我们的示例应用程序。 易受攻击的JSP( xss_html.jsp )包含以下代码片段:
<%
final String amount = request.getParameter("amount");
Enumeration pNames = request.getParameterNames();
while (pNames.hasMoreElements()){
final String pName = pNames.nextElement();
final String pVal = request.getParameter(pName);
%>
<input type="hidden" name="<%=pName%>" />" value="" />;</pre>
<table>
<tbody>
<tr>
<td>Credit card</td>
<td><input type="text" maxlength="16" name="cc" size="16" value="" /></td>
</tr>
<tr>
<td>Exp Date (mm/yy)</td>
<td><input type="text" maxlength="2" name="expMonth" size="2&#