我最近在网站上发布了一个关于从XSS攻击中恢复的问题How to recover a site after an xss attack? ...
在线进行更多挖掘,我发现如果网站允许用户提供输入,或者换句话说,网站中有任何类型的输入框(喜欢 < em>搜索框,联系我们表格,发布反馈等。)
现在,我想知道的是:
我知道,这是一个非常广泛的问题,我只需要在谷歌的主题上进行一些改进!
答案 0 :(得分:1)
如果网站收到用户输入(表单,链接,Cookie等)并返回该数据的内容而不进行任何过滤或转义,则该网站很容易受到XSS攻击。
所以对于你的第一个问题,是的,它可能是易受攻击的,因为它可能以链接的形式接收用户输入,例如:
http://sample.com/"><script>alert(/yoursiteisvulnerable/)</script>
返回带有此链接的404页面,说明它不存在
同样,输入框与XSS没有任何关系,它是任何用户提供的输入接收和使用,最后没有过滤显示,所以甚至可能是Referer(拼写错误)是根据RFC)标题被处理并用作网站的输入。
答案 1 :(得分:1)
即使没有输入框,如果您有导致操作的按钮或链接,您仍然可能容易受到跨站点请求伪造的攻击。</ p>