今天记录工作中遇到的接口存在的安全漏洞
1.XSS漏洞本质是攻击网站用户,攻击的方式是让恶意的javascript在用户的浏览器里执行,攻击效果可能是多种多样,比如盗取用户信息、用户访问劫持。
攻击者可以向网站注入恶意的javascript代码,当受害用户访问这个javascript代码,攻击就发生了。
2.测试过程
在接口参数中加入跨站脚本>"'><script>alert('xss')</script>,可以直接在返回包中返回并在当前页面中执行。
3.xss防范措施
防范xss攻击视不同的场景,有多种防御方法,本质还是输出编码,大部分情况下将用户的输入转义为html格式就可以
(1)、 对输出的数据进行安全编码
(2)、如果内容输出在html中只需要传入需要编码内容即可