Poo*_*ool 3 security struts csrf
IMG嵌入式命令 - 当注入此网页时(如网页板)支持密码保护,并且密码保护与同一域上的其他命令一起使用时,此功能可用.这可用于删除用户,添加用户(如果访问该页面的用户是管理员),在其他地方发送凭据等等.这是较少使用但更有用的XSS向量之一:
Run Code Online (Sandbox Code Playgroud)<IMG SRC="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode">要么:
重定向302 /a.jpg http://victimsite.com/admin.asp&deleteuser
我允许用户在论坛中发布图片.如何防止这种情况?
我正在使用Java Struts,但欢迎任何通用的答案.
如果您遵循HTTP规范的规则,这种攻击不会造成任何伤害.9.1.1安全方法部分说:
[...] GET和HEAD方法不应该具有采取除检索之外的动作的重要性.这些方法应该被认为是"安全的".这允许用户代理以特殊方式表示其他方法,例如POST,PUT和DELETE,以便使用户意识到正在请求可能不安全的操作.
当然,不可能确保服务器不会因执行GET请求而产生副作用; 实际上,一些动态资源会考虑这个功能.这里的重要区别是用户没有请求副作用,因此不能对他们负责.
因此,只应通过POST允许所有在服务器端更改数据的请求.即使在那里,您也应该只允许那些对您的系统进行身份验证的请求,方法是生成仅对特定表单/操作有效的令牌.
| 归档时间: |
|
| 查看次数: |
3139 次 |
| 最近记录: |