作者Jichang (C.C.Lemon)
看板java
标题[J2EE] Cross site script
时间Thu Feb 27 23:07:32 2014
请教各位前辈一个 Cross site script 问题
公司导入 Taas、Web Inspect 之类的弱点扫描工具
其中有一个检查项目是 Cross site scripting
传入类似
http://xxxxx/abc.ation?key=en_US_951626%2527%2528%2529%253A%253B993716
我有写一个filter 去将一些特殊字元做取代<、>、& 之类的
但是不知道为什麽其中有一套软体会回报有 Cross site scripting 问题
不知道有没有前辈有类似的经验
1.我的问题是 这个解码之後类似 951626'():993716 这样的东西,这个有什麽作用?
2.扫描系统送过来的request,我的filter有处理一些转换,扫描软体要怎麽判断是不是
有 Cross site scripting问题?
谢谢!
Request:
GET
/xxx.action?request_locale=en_US_951626%2527%2528%2529%253A%253B993716&account=4111111111111111&password=g00dPa%2524%2524w0rD
HTTP/1.1
Referer:
http://xxxx:8080
Cookie: JSESSIONID=974F73F6D29D4E5C7E335FA7EB928B4B;
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64;
Trident/5.0)
Accept: */*
Host: xxx:8443
Response
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
P3P: CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'
Content-Type: text/html;charset=UTF-8
Content-Length: 14231
Date: Wed, 26 Feb 2014 03:52:09 GMT
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 218.161.46.122