我如何知道我的 AJAX 请求是否容易受到 XSS 攻击?
一家安全公司意外审核了我开发的一个 Web 应用程序,并告诉我存在 XSS 漏洞。我真的不知道从哪里开始。
这是 AJAX:
new Form.Observer('filter', 0.5, function(element, value)
{
startLoad('proposals');;
new Ajax.Updater('proposals', 'http://acme.example.dev/stuff/filter',
{
asynchronous:true, evalScripts:true, onComplete:function(request)
{
}, parameters:value + '&authenticity_token=' + encodeURIComponent('base64StringHere')
})
});
A security firm surprise audited a web app I work on, and told me that there are XSS vulnerabilities. I don't really know where to begin.
This is the AJAX:
new Form.Observer('filter', 0.5, function(element, value)
{
startLoad('proposals');;
new Ajax.Updater('proposals', 'http://acme.example.dev/stuff/filter',
{
asynchronous:true, evalScripts:true, onComplete:function(request)
{
}, parameters:value + '&authenticity_token=' + encodeURIComponent('base64StringHere')
})
});
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
很难确定如何追踪该漏洞,因为不清楚您的页面显示的用户输入是什么。由于您使用的是 RoR,因此最好的起点可能是 XSS 部分RoR 安全指南。
您还可以尝试运行 skipfish 等扫描仪。它将尝试自动检测 XSS 和其他安全漏洞,如果发现它们,它将为您提供一些详细信息和文档以帮助解决问题。
It's hard to say for sure how to track down the vulnerability, since it's not clear what user input your page is displaying. Since you're using RoR, the best place to start is probably the XSS section of the RoR security guide.
You could also try running a scanner like skipfish. It will try to automatically detect XSS and other security vulnerabilities, and if it finds them it will give you some details and documentation to help fix the problem.