1、漏洞描述
JavaScript注入漏洞是跨站脚本(XSS)的一个子类型,涉及注入任意JavaScript代码的能力,由受害者的浏览器内部的应用程序执行。这个漏洞可以带来很多影响,比如公开用户的会话cookie后,可以被用于模仿受害者,也可以使得让攻击者修改受害者的页面内容以及操控应用程序运行。
2、测试方法
当应用程序缺少正确的用户输入和输出验证时。就会产生JavaScript注入漏洞。JavaScript使用动态填充网页,于是注入产生在处理这些内容的过程阶段,从而影响到受害者。
下面的脚本没有对变量rr进行验证,并且不执行包含通过查询字符串来得到用户提供的输入,以及没有做任何编码:
var rr = location.search.substring(1