失效的验证和会话管理 不安全的对象直接引用 跨站请求伪造 不安全的配置管理 不安全的密码存储 错误的访问控制 传输保护不足 未经验证的网址重定向 不恰当的异常处理 拒绝服务攻击
[学习交流]
2018-05-28
原理 由于程序没有对用户提交的变量中的HTML代码进行过滤或转换,使得脚本可被执行,攻击者可以利用用户和服务器之间的信任关系实现恶意攻击 危害 敏感信息泄露、账号劫持、Cookie欺骗、拒绝服务、钓鱼等 防范 不允许HTML中脚本运行 对所有脚本进行严格过滤
[学习交流]
2018-05-28
