一尘不染

是否可以通过内部带有JSP代码的html注释进行XSS攻击?

jsp

以下代码是否确实为某些JSP页面添加了XSS漏洞?

<!--    <%=paramName%>=<%=request.getParameter(paramName)%><BR>  -->

看起来像“剩余调试”,绝对应该从代码中删除它,但是这样做有多危险?


阅读 262

收藏
2020-06-08

共1个答案

一尘不染

是的,您正在查看的是反射性XSS攻击。这很危险,因为它允许攻击者劫持经过身份验证的会话。如果您在系统上运行此代码,则攻击者将能够访问其他人的帐户而无需知道其用户名/密码。

XSS漏洞也可以用来绕过CSRF保护。这是因为XSS允许攻击者使用XmlHTTPRequest读取CSRF令牌的值。XSS也可以用来欺骗引用检查。

这是手动测试xss的简单方法,在这里我打破了HTML注释以执行javascript。

http://localhost/xss_vuln.jsp?paramName='--><script>alert(document.cookie)</script><!--'

这是一个免费的xss扫描仪,您应该测试所有编写的应用程序。

2020-06-08