51Testing软件测试论坛

标题: 大家对反射式XSS怎么看 [打印本页]

作者: 男孩子 时间: 2009-10-10 16:07
标题: 大家对反射式XSS怎么看
反射式XSS一直处于一个比较有争议的地位，测试觉得是漏洞，研发觉得没什么。
比如这个就是个典型的反射式XSS漏洞：
http://www.bokee.net/includes/yu ... 7%E5%AD%A9%E5%AD%90
将stra后边的部分替换成脚本，发给不太懂这个的人，就算计他一把。但是你跟研发说，研发会很不以为然的说“这有什么，对我网站又没影响。”同时呢，现在不少浏览器也增加了对这类反射式XSS攻击的防范功能，使我们可以说服别人的依据又少了一条。

大家平时对这类漏洞都是什么态度呢？处理 or 不处理？

一起聊聊吧，就当提升版面人气了，呵呵。

作者: houzeal 时间: 2009-10-12 18:32
关注中..........

作者: 男孩子 时间: 2009-10-15 18:04
没人气啊

作者: GeorgeWangLC 时间: 2009-10-15 22:31
关注中

作者: jessies 时间: 2009-10-23 16:13
处理，最近遇到几个这类的XSS问题，发现之后，交由安全开发进行推进架构处理。这一类的问题，不会直接交给功能方面的开发，会交给架构开发进行框架上整体过滤

作者: 男孩子 时间: 2009-10-25 13:01
楼上的，你们公司分的好仔细啊。
羡慕ing。。。

作者: ljdfdd 时间: 2010-7-1 14:01
反射型xss可以模拟钓鱼网站得到帐号密码的,所以是个大的安全漏洞...

作者: moyiyun 时间: 2011-11-16 14:47
路过，关注，正在研究XSS攻击！

作者: 蜗牛来了 时间: 2011-11-22 13:46
XSS危害性的评估要结合具体的“情境”。这样才有意义。只要相关“情境”容易导致出现业务损失或其他问题，自然会被产品部门重视，反过来推动研发重视

作者: SariyaLee 时间: 2011-11-28 17:05

了解一下，，

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)