跨站脚本漏洞(Cross Site Scripting)

漏洞级别:  高危中危或高危

参考:OWASP:XSS    WASC:跨站点脚本编制    CVE:不适用    CWE:79

危害:

恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash利用应用的漏洞,从而获取其他用户信息。攻击者能盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容。

描述:

本页面存在跨站脚本攻击。

跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。

解决方法:

严格限制传入参数输入值的格式,过滤特殊字符( <、>、' 、" 等)。

备注:

暂无相关信息