51Testing软件测试论坛
标题:
关于XSS问题,这些可以无视吗?(淘宝里貌似也有)
[打印本页]
作者:
bzcyer
时间:
2008-8-13 11:03
标题:
关于XSS问题,这些可以无视吗?(淘宝里貌似也有)
今天在测试一个web的时候,发现很多XSS的问题,然后同事说,到taobao上看看是不是也有呢~
找了段代码,贴到
www.taobao.com
的搜索框里
>"'><img src=javascript:alert(21879)>
复制代码
结果如图:
[attach]44734[/attach]
差不多同样的问题,在我们单位其他的一些web上也存在,提bug给项目负责人,结果说,这些只是客户端的问题,不存在安全威胁。不知道是我对XSS的理解太差了还是别人对这些理解不够,但总觉得这样被人弹框总归是很不好的。
另外,难道这样的问题可以无视吗?
[
本帖最后由 bzcyer 于 2008-8-13 11:05 编辑
]
作者:
ruanyongjie
时间:
2008-8-13 17:12
对于这样的问题并不是视而不见或无视, 既然问题发生肯定有他的原因, 要么他们没有做系统安全测试,要么做了但覆盖范围不全有遗漏的, 谁都不能保证自己测试的覆盖100% 偶尔也会范些错误的;
作者:
bzcyer
时间:
2008-8-13 22:13
其实,我还是找不到理由,去和开发说,你这alert出个东西,就有危害。
作者:
photon
时间:
2008-8-13 22:39
xss不会直接对服务器造成破坏,管理人员自然不是很在意.
作者:
photon
时间:
2008-8-13 22:42
由于不会直接破坏服务器,管理员会不那么重视。
作者:
photon
时间:
2008-8-13 22:42
把我前面重复的帖子删了,谢谢。
作者:
sihanjishu
时间:
2008-8-15 17:55
标题:
回复 1# 的帖子
你可以尝试一下,在跨站里发送一个cookie给其他人,看看能不能得到这个cookie,然后利用cookie登陆别人的淘宝管理页面。
如果成功的话,只需要发送给别人一个连接,就可以得到别人的cookie,然后获得他们的帐户操作权限,这样证据也许可以确凿一些。
注意此时的可能不是本地的cookie,而是session cookie,是具有实效性的。
欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)
Powered by Discuz! X3.2