Correctif de vulnérabilité du code JavaScript : étapes importantes à connaître
P粉463418483
P粉463418483 2023-09-20 14:49:09
0
4
776

Je ne suis pas l'utilisateur JS le plus fort, mais j'en ai besoin et j'ai écrit du code pour ma page Web qui fonctionne sur Apache et PHP. Dans ma requête ajax j'ai le code suivant :

if (dataX['var1'] == '1.1' || dataX['var1'] == '2.1')
{
    window.location.href = '<domain>'
}

Si j'utilise XSStrike pour rechercher des vulnérabilités potentielles sur mon système, je reçois des messages qui peuvent être injectables.

Quelqu'un peut-il m'aider à le réparer ? Ai-je besoin d'un gel ou de quelque chose pour le réparer ? Désolé, je ne sais pas comment un attaquant peut utiliser cela. Merci pour toute aide utile. bonne chance.

Qu'ai-je essayé ? J'ai essayé de demander sur cette chaîne ? !

P粉463418483
P粉463418483

répondre à tous(4)
P粉739079318

Si le code dans <domain>可以包含任意不受检查的字符串,那么如果攻击者之前成功保存了他们想要的任意字符串作为“domain”,他们将获得访问您页面范围的权限。在这种情况下,他们可以做的事情除了重定向到他们的服务器外,还是非常可疑的,因为由于页面更改,<domain> ne sera pas exécuté. Je ne suis pas sûr d'un emplacement

window.location.href = '';executeSomethingNasty()
Ou changez simplement le hachage
window.location.href = window.location.href+'#stayonthepage';executeSomethingNasty()
尊渡假赌

Comme répondu

Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal