IBM Security Appscan 구멍 - 링크 주입 (크로스 오 버 요청 위조 에 편리)
<HTML>
<BODY>
Hello, John Smith.
</BODY>
</HTML>
그러나 악의 적 인 사용 자 는 다음 과 같은 요청 을 보 낼 수 있 습 니 다.
HTTP://www.vulnerable.com/greet.asp?name=<IMG SRC="http://www.ANY-SITE.com/ANY-SCRIPT.asp">
다음 응답 을 되 돌려 줍 니 다:
<HTML>
<BODY>
Hello, <IMG SRC="http://www.ANY-SITE.com/ANY-SCRIPT.asp">.
</BODY>
</HTML>
상기 예시 에서 보 듯 이 공격 자 는 사용자 브 라 우 저가 공격 자가 공격 하려 는 거의 모든 사이트 에 자동 요청 을 할 수 있다.따라서 '링크 주입' 의 취약 성 은 몇 가지 유형의 공격 에 사용 할 수 있 습 니 다.
[-] 크로스 사이트 위조 요청
[-] 크로스 사이트 스 크 립 트 작성
[-] 낚시
해결 방법: 특수 문 자 를 처리 하고 프론트 - 백 스테이지 - 프론트 에서 데 이 터 를 처리 합 니 다.XSS 필 터 를 추가 하여 프론트 에서 들 어 오 는 모든 인 자 를 필터 합 니 다.XSS 필터:http://blog.csdn.net/super_man_x / article / details / 50905546 유사 한 구멍:
저 는 반찬 새 입 니 다. 여러분 이 더 간단 하고 효율 적 인 방법 이 있다 면 댓 글 에서 지적 하고 함께 공유 하 는 것 을 환영 합 니 다.감사합니다.
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
IBM Security Appscan 구멍 - 링크 주입 (크로스 오 버 요청 위조 에 편리)이 소프트웨어 는 외부 영향 을 받 은 입력 으로 명령, 데이터 구조 또는 기록 의 전부 또는 일 부 를 구성 하지만 해석 이나 해석 방식 을 수정 할 수 있 는 요 소 를 무해 하 게 처리 하지 못 했 습 니 다....
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.