男孩子 发表于 2009-10-10 16:07:22

大家对反射式XSS怎么看

反射式XSS一直处于一个比较有争议的地位,测试觉得是漏洞,研发觉得没什么。
比如这个就是个典型的反射式XSS漏洞:
http://www.bokee.net/includes/yuebing.jsp?stra=%E7%94%B7%E5%AD%A9%E5%AD%90
将stra后边的部分替换成脚本,发给不太懂这个的人,就算计他一把。但是你跟研发说,研发会很不以为然的说“这有什么,对我网站又没影响。”同时呢,现在不少浏览器也增加了对这类反射式XSS攻击的防范功能,使我们可以说服别人的依据又少了一条。

大家平时对这类漏洞都是什么态度呢?处理 or 不处理?

一起聊聊吧,就当提升版面人气了,呵呵。

houzeal 发表于 2009-10-12 18:32:02

关注中..........

男孩子 发表于 2009-10-15 18:04:00

没人气啊:L

GeorgeWangLC 发表于 2009-10-15 22:31:07

关注中

jessies 发表于 2009-10-23 16:13:22

处理,最近遇到几个这类的XSS问题,发现之后,交由安全开发进行推进架构处理。这一类的问题,不会直接交给功能方面的开发,会交给架构开发进行框架上整体过滤

男孩子 发表于 2009-10-25 13:01:13

楼上的,你们公司分的好仔细啊。
羡慕ing。。。

ljdfdd 发表于 2010-7-1 14:01:04

反射型xss可以模拟钓鱼网站得到帐号密码的,所以是个大的安全漏洞...

moyiyun 发表于 2011-11-16 14:47:30

路过,关注,正在研究XSS攻击!

蜗牛来了 发表于 2011-11-22 13:46:28

XSS危害性的评估要结合具体的“情境”。这样才有意义。只要相关“情境”容易导致出现业务损失或其他问题,自然会被产品部门重视,反过来推动研发重视

SariyaLee 发表于 2011-11-28 17:05:54

:)了解一下,,
页: [1]
查看完整版本: 大家对反射式XSS怎么看