超级会员免费看
本文介绍了客户端资源处理漏洞的概念,这是一种输入验证漏洞,允许攻击者通过控制URL影响网页资源。文章详细阐述了漏洞描述,并提出了人工测试方法,通过JavaScript代码示例展示了XSS攻击的可能途径,提醒测试人员注意可能的注入点。
1、漏洞描述
客户端资源处理漏洞是指当一个应用程序接受一个由用户控制并指定资源路径的输入时,发生的输入验证漏洞。具体而言,这种漏洞具有控制URL链接到存在于网页中的某些资源的能力。受到的影响可能会因攻击者控制的URL元素类型不同而不同,它通常会采用跨站点脚本攻击方式来进行。
2、测试方法
这类漏洞需要人工测试。当应用程序使用由用户控制的URL引用外部/内部资源时,会发生此漏洞。在这种情况下,可能表面上是实现预期的行为,但实际上是执行恶意的对象。
下面的JavaScript代码显示了一个可能易受攻击的脚本,攻击者能够控制 “location.hash”(源)影响属性为 “src” 的脚本元素。这会导致XSS,因为可以很容易的在受信任网站上注入来自外部的JavaScript。
<script>
var d=document.createElement
订阅专栏 解锁全文
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
