拒绝服务(基于DOM)
描述:拒绝服务(基于DOM)
当客户端脚本从DOM的可控部分读取数据并以不安全的方式处理此数据时,就会出现基于DOM的漏洞。
当脚本以不安全的方式将可控数据传递给有问题的平台API时,就会出现基于DOM的服务。攻击者可能能够使用漏洞来构建一个URL,如果其他应用程序用户访问,则在调用相关API时会在用户计算机上拒绝服务条件。根据API的性质,调用可能导致用户的计算机消耗过多的CPU或磁盘空间。如果Web浏览器限制了应用程序功能,这可能会导致副作用;beplay体育能用吗例如,通过拒绝将数据存储在本地存储中或杀死繁忙脚本的尝试。
Burp Suite会使用动态和静态代码分析自动识别此问题。静态分析会导致实际上无法利用的误报。如果BURP扫描仪未提供动态分析产生的任何证据,则应查看相关的代码和执行途径,以确定是否确实存在此漏洞,或者是否存在缓解措施以阻止剥削。
补救:拒绝服务(基于DOM)
避免基于DOM的拒绝服务漏洞的最有效方法不是将数据动态传递到来自任何不受信任源的有问题的平台API中。如果应用程序的所需功能意味着此行为是不可避免的,则必须在客户端代码中实施防御,以防止恶意数据造成拒绝服务条件。在许多情况下,相关数据可以在白名单的基础上进行验证,以允许仅允许已知安全的内容。
参考
脆弱性分类
典型的严重程度
信息
类型索引(HEX)
0x00500D00
类型索引(十进制)
5246208