关于XSS问题,这些可以无视吗?(淘宝里貌似也有)
今天在测试一个web的时候,发现很多XSS的问题,然后同事说,到taobao上看看是不是也有呢~找了段代码,贴到www.taobao.com的搜索框里>"'><img src=javascript:alert(21879)>
结果如图:
差不多同样的问题,在我们单位其他的一些web上也存在,提bug给项目负责人,结果说,这些只是客户端的问题,不存在安全威胁。不知道是我对XSS的理解太差了还是别人对这些理解不够,但总觉得这样被人弹框总归是很不好的。
另外,难道这样的问题可以无视吗?
[ 本帖最后由 bzcyer 于 2008-8-13 11:05 编辑 ] 对于这样的问题并不是视而不见或无视, 既然问题发生肯定有他的原因, 要么他们没有做系统安全测试,要么做了但覆盖范围不全有遗漏的, 谁都不能保证自己测试的覆盖100% 偶尔也会范些错误的; 其实,我还是找不到理由,去和开发说,你这alert出个东西,就有危害。 xss不会直接对服务器造成破坏,管理人员自然不是很在意. 由于不会直接破坏服务器,管理员会不那么重视。 把我前面重复的帖子删了,谢谢。
回复 1# 的帖子
你可以尝试一下,在跨站里发送一个cookie给其他人,看看能不能得到这个cookie,然后利用cookie登陆别人的淘宝管理页面。如果成功的话,只需要发送给别人一个连接,就可以得到别人的cookie,然后获得他们的帐户操作权限,这样证据也许可以确凿一些。
注意此时的可能不是本地的cookie,而是session cookie,是具有实效性的。
页:
[1]