Multiple Vendor Java Servlet Container Cross-Site ScriptingInfrastructure 服务器风险 WASC分类:Cross-Site Scripting 错误等级: 严重(High) 风险: 可以偷盗或者操作用户Session和Cookie,这样攻击者可以扮演一个合法的客户进行操作。 技术说明: 和Cross-Site Scripting一样的问题, Cross-Site Scripting主要是应用程序未对输入参数做严格的校验,Multiple Vendor Java Servlet Container Cross-Site Scripting是服务器自身问题,客户访问一个不存在的URL,服务器会提供一个错误说明页面,告诉客户XXX页面不存在,如果此时这个页面的名字是一串恶意代码,这样用户点了这个链接的话,就会造成恶意代码的执行。 参考:http://www.360doc.com/showWeb/0/54/1280205.aspx |
|