若问xss的问题

水木社区手机版

主题:若问xss的问题
楼主|guizhidao|2015-03-01 09:04:10|只看此ID
xss是不是大家开发肯定会考虑的。
文本框的value不转义肯定不行。这点可以理解。
那么问题是
hidden的value不转义的话会被xss吗？如何xss？
--
FROM 114.245.37.*
1楼|dajun|2015-03-02 09:47:05|只看此ID
<input type="text" value="XSS"/>
<input type="hidden" value="XSS"/>

XSS根本就不管是text还是hidden, 就算是<input type="求你别xss啊" value="XSS"/>也还是一样的啊
--
FROM 182.203.133.*
2楼|dhcn|2015-03-02 09:50:32|只看此ID
都得转义。
如果Java，可以考虑ESAPI.
有些框架模板会自动转义。
【在 guizhidao 的大作中提到: 】
: xss是不是大家开发肯定会考虑的。
: 文本框的value不转义肯定不行。这点可以理解。
: 那么问题是
: ...................
--
FROM 124.42.13.*
3楼|guizhidao|2015-03-12 14:29:20|只看此ID
查了一下，我的理解如下:
所谓的xss，
攻击方式是，a画面跳转到b画面的时候，文本框（或别的什么）的传值里有攻击代码（js），然后在b画面进行html解析的时候执行。

转义作为对应手段，转义的timing是在b画面html解析前。所以，所有可能接到前画面传值的tag都要转义。
如果 <input type="hidden" value="1"/>这样的固定值是不需要的。
以上理解，如有不足或偏差请指正多谢。
【在 dajun 的大作中提到: 】
: <input type="text" value="XSS"/>
: <input type="hidden" value="XSS"/>
: XSS根本就不管是text还是hidden, 就算是<input type="求你别xss啊" value="XSS"/>也还是一样的啊
--
FROM 223.69.70.*
4楼|dhcn|2015-03-12 15:01:44|只看此ID
建议把吴瀚清的《白帽子谈Web安全》看一遍。
【在 guizhidao 的大作中提到: 】
: 查了一下，我的理解如下:
: 所谓的xss，
: 攻击方式是，a画面跳转到b画面的时候，文本框（或别的什么）的传值里有攻击代码（js），然后在b画面进行html解析的时候执行。
: ...................
--
FROM 124.42.13.*
5楼|guizhidao|2015-03-12 15:03:15|只看此ID
多谢
【在 dhcn 的大作中提到: 】
: 建议把吴瀚清的《白帽子谈Web安全》看一遍。
--
FROM 223.69.70.*
6楼|dhcn|2015-03-12 15:24:04|只看此ID
你们单位要有白盒代码扫描工具，看测试结果文档会更实在。
【在 guizhidao 的大作中提到: 】
: 多谢
--
FROM 124.42.13.*
7楼|guizhidao|2015-04-01 19:54:59|只看此ID
大牛给提供个工具名字呗
知道个appscan
【在 dhcn 的大作中提到: 】
: 你们单位要有白盒代码扫描工具，看测试结果文档会更实在。
--
FROM 61.148.243.*
8楼|dhcn|2015-04-02 09:19:51|只看此ID
appscan是黑盒，白盒比如HP的fortify.不过这两个都是要钱的。
【在 guizhidao 的大作中提到: 】
: 大牛给提供个工具名字呗
: 知道个appscan
--
FROM 124.42.13.*
9楼|guizhidao|2015-04-02 10:13:30|只看此ID
有免费的不
【在 dhcn 的大作中提到: 】
: appscan是黑盒，白盒比如HP的fortify.不过这两个都是要钱的。
--
FROM 223.69.70.*