我的申请正在进行渗透测试。
标记的XSS项目之一是我使用隐藏的表单字段在浏览器/搜索屏幕中存储记录ID,然后使用id来打开完整记录。 (通过帖子)
我很难看到这是一次XSS攻击。我错过了什么吗?
答案 0 :(得分:2)
如果提交的表单已更改该值,会发生什么?
公开实际的数据库ID可能会导致访问数据库中属于另一个用户的行。
如果要公开数据库ID并在SQL查询中使用它,则应确保SQL查询对该id使用绑定变量(或正确转义它,但绑定变量更好)并执行业务规则检查确保当前应用程序用户可以看到与id对应的行。
这不是一个真正的XSS问题,但它肯定是一个安全问题。
答案 1 :(得分:0)
如果您没有过滤隐藏字段的输入,则可能有一种可能性。隐藏字段自身不是xss攻击向量。
答案 2 :(得分:0)
如果您没有过滤隐藏字段的输入,则可能有一种可能性。隐藏字段自身不是xss攻击向量。
你确定'没有XSS攻击向量'吗?除非你不知道并且没有尝试过测试,否则不要传达错误的安全感。总是建议用户验证和过滤输入。