这段代码存在什么类型的 XSS 漏洞?

【问题标题】:What type of XSS vulnerability is this code subject to?这段代码存在什么类型的 XSS 漏洞?
【发布时间】:2019-10-10 15:48:14
【问题描述】:

鉴于以下 PHP...

<?php
 $name = $_GET['name'];
 echo "Welcome $name<br>";
      echo "Have Fun!";
                ?>

此主题属于哪种 XSS 漏洞:Stored, or Reflected

我的回答是:Non Persistent (reflected),但我对用户输入信息时如何将 index.php 用作反射感到困惑。

【问题讨论】:

  • 您问“[以下哪个] 术语最准确地描述了漏洞”。你没有给我们可用的条款,所以谁知道选项是什么,但这最准确地描述为 XSS 漏洞。
  • @ceejayoz 有不同类型的 XSS,问题中使用“非持久”和“反射”表示用户正在寻找反射(非持久)或存储(坚持)。

标签: javascript php security xss server-side-attacks


【解决方案1】:

它被反映或非持久化,因为用户输入不会跨请求存储,它会直接回显给用户以响应包含 XSS 有效负载的请求。服务器“反映”用户自己的输入。

持久性 XSS 将是:用户注册并将 XSS Paylod 提交到某个数据存储(如数据库),并且该数据在后续请求中回显。这种类型的 XSS 可能允许一个用户提交在 不同用户请求上执行的有效负载。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2022-04-17
    • 2023-04-07
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-12-16
    • 2012-03-10
    • 2012-06-21
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode