未过滤HTML标签及HTML代码 (或跨站脚本漏洞:Cross Site Scripting)

漏洞级别:  高危中危或高危

参考:OWASP:XSS    WASC:跨站点脚本编制    CVE:不适用    CWE:79

危害:

本页面未过滤HTML代码,攻击者可能可以通过精心构造XSS代码(或绕过防火墙防护策略),实现跨站脚本攻击。恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash利用应用的漏洞,从而获取其他用户信息。攻击者能盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容。

描述:

本页面未过滤HTML代码,攻击者可能可以通过精心构造XSS代码(或绕过防火墙防护策略),实现跨站脚本攻击。

跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。

解决方法:

严格过滤用户输入的数据。

备注:

暂无相关信息