XSS 和 Applet/Param HTML 关键字

Question

我有一个 Web 应用程序，并对其运行了 XSS 扫描，它报告说我的一个包含 Java 小程序的页面可能会受到 XSS 的攻击。

该测试设法将 javascript 警报框分配给以下 HTML 代码：

<param name='id' value='' onMouseOver=alert(40041)>

我的问题是 - 这是一个有效的测试吗？对 Param 对象进行任何 XSS javascript 操作会导致任何现实问题吗？我认为 param 对象上的 MouseOver 不会执行任何操作。

谢谢

Answer 1

这是一个有效的测试，但可能是一个严重的漏洞。

如果value的内容没有被转义，那么攻击者就可以关闭标签并添加任何其他脚本。

即使 <> 被转义/删除，但引号没有被转义/删除，它仍然可能被利用：攻击者可以附加诸如 onload 和 onerror< 之类的事件处理程序/代码>。在现代浏览器中，每个元素都可以变得可见（例如，甚至），因此style也可以使悬停。

防范这样的 XSS 非常简单。生成属性时始终使用引号并在值更改中：

• & 更改为 &
• < 更改为 <、
• ' 到 &x39;
• 和 " 到 "。

你赢了不必担心被劫持的会发生什么不好的事情。