SS漏洞:鼠标事件注入
描述:
Web应用程序没有对来自客户端的请求值进行任何验证或编码就进行使用。攻击者可以构造请求字符串,绕过访问控制,诱使用户执行恶意操作,使用户数据泄露甚至造成更多危害
分析:
发现跨站脚本漏洞,详细信息如下:
漏洞位置: http://www.seeapp.ac.cn/loginHTTP方法: POST发送数据: next=<img src=5DG3ye onerror=5DG3ye(3055)>
修改参数: next
解决方法
- 在服务端正式处理之前对提交数据的合法性进行检查,对非法字符进行拦截替换,清理用户输入的危险字符。
- 确认接收得到的HTML内容被妥善地格式化,仅包含最小化的,安全的tag,去掉对远程内容的引用。使用HTTP only的cookie。