给出网址:
http://www.example.com/abc?q1=foo&q2=<USER SUPPLIED>
这个网址是否可攻击? (假设HTML文档中未输出<USER SUPPLIED>)。
如果这是打印到href属性,并且是HTML编码的,但不是URL或属性编码的。攻击者可以做什么?
答案 0 :(得分:0)
如果在页面上使用“q2”值,并且无论如何都没有进行消毒(您正在使用简单的$_GET['q2']来读取值),则将其视为XSS。即使它没有打印在页面的任何地方,它也会创建 Reflected XSS 。攻击者可以插入任何内容而不是参数,如果它被运行,甚至插入到你的数据库中,他可以抓住你的phpmyadmin会话cookie,或做其他无害的东西,取决于你的页面如何使用这个值。