【 在 hijackzju (jack.lifegoo.com) 的大作中提到: 】
:
http://jack.lifegoo.com/?p=50: Web application security现在(2006年)还是一个处于探索阶段的话题,我个人比较
: 感兴趣的是JavaScript在web application中的威胁。(这不能说明我是JavaScript的
: 反对者,恰恰相反的是我在努力掌握JavaScript —— 一个强大的脚本语言)。今年
: 7月就有人利用javascript注入在hi.baidu上发现安全漏洞,同样Gmail里面也发现: XSS
: 安全问题。
: 下面我们讨论一些web application可能面临的一些攻击。主要参考Shreeraj Shah的
: Top 10 Web 2.0 Attack Vectors
: Cross-site scripting(XSS): XSS简单的来说就是在其他domain内注入脚本并被解释
: 运行。Samy worm是典型的XSS攻击。
IE6对XSS的限制已经非常严格了,除了几个月前iframe有一个src属性没有约束长度导致的漏洞之外,浏览器端跨域访问很难了。
--
FROM 166.111.48.*