我正在研究XSS,到目前为止我能找到的就是可以使用ECMAScript 至 1)注入恶意代码,让我们说一个个人资料页面。 (要修改的页面)。要么 2)HTML和ECMAScript可用于修改浏览器中显示的客户端页面的属性,以及 3)它可以在页面的特权级别服务器端查询来自Web服务器的信息。
由于第二个只是一个网络钓鱼问题,第一个仅限于一个打算首先修改的页面,
我是否应该担心我网站上的XSS漏洞能够真正修改我网站的服务器端页面? (进行一些改变,每个人都受到影响)
(我试图决定是否可以设置" allowScriptAccess"总是在网页上让SWF使用JS。如果我这样做,它只允许脚本执行客户端是?通过允许SWF使用JS进行通信,它只与客户端的浏览器进行通信?这似乎现在有意义了。)
我并不害怕我的网站被攻击者分发作为网络诈骗的一部分。
感谢大家的帮助。
与问题无关,但如果可以回答,那么任何类型的网络浏览器脚本都可以插入到XSS漏洞中吗? css,php等?
答案 0 :(得分:0)
您需要区分服务器端语言(例如PHP)和客户端语言(HTML,CSS,Javascript)。攻击者可能有各种攻击选择,具体取决于您网站上的漏洞。例如,如果您让用户发表评论并且没有使用他们输入的文字做任何事情,他们可以将任何HTML,CSS或Javascript注入您的网站,就像您这样做一样。这可能导致数据被盗,攻击者将能够检索访问他注入的页面的任何人的数据(再次取决于您的网站)。他们不能在您的网站上使用PHP等服务器端语言 TLDR;您使攻击者成为ADMINS,他们甚至可以将您的用户重定向到他们自己的页面。
答案 1 :(得分:0)
XSS如果您的网站具有由网络服务器处理的输入对象,则可以修改您网站的一部分,甚至可能是的部分。 如果您的Web服务器的输入阅读器功能具有完全访问权限,并且该功能不是"挑剔"因此,不会逃避潜在的用户编写的代码,它可能会执行恶意代码,导致它对网站和服务器端的任何连接资源进行更改。 (因为此执行发生在服务器端,所以您网站的所有新访问者都会查看这些更改。)
只要您信任SWF,并且它被您的网络服务器放置在那里,意味着没有人可以将自己的SWF放在那里,那么您就是安全的。
您只能通过网站上的URL或输入字段注入恶意项目。如果URL输入或网站上的任何输入字段无法触及SWF嵌入,并且SWF无法从互联网上攻击,则SWF无法用于恶意目的。
允许脚本访问允许SWF与其嵌入的页面进行通信,并收集JavaScript常量的值。由于相同的原始策略,它不允许与父页面通信。