HTML5 beplay体育能用吗Web消息操纵(基于DOM的反映)
描述:HTML5 Web消息操纵(基于beplay体育能用吗DOM的反映)
当数据从请求复制并回音到DOM的一部分内的应用程序的直接响应中时,会出现反射的基于DOM的漏洞,然后通过客户端脚本以不安全的方式处理。攻击者可以利用反射来控制响应的一部分(例如,JavaScript字符串),可用于触发基于DOM的漏洞。
当脚本将可控beplay体育能用吗数据作为Web消息发送到浏览器中的另一个文档时,HTML5 Web消息操作会产生。攻击者可能能够使用漏洞来构建一个URL,如果另一个应用程序用户访问,将导致用户的浏览器发送包含攻击者控制下的数据的Web消息。beplay体育能用吗
漏洞的潜在影响取决于目标文档对传入消息的处理。如果目标文档信任发件人不要在消息中传输恶意数据,并以不安全的方式处理数据,则两个文档的联合行为可能允许攻击者妥协应用程序用户。
Burp Suite会使用动态和静态代码分析自动识别此问题。静态分析会导致实际上无法利用的误报。如果BURP扫描仪未提供动态分析产生的任何证据,则应查看相关的代码和执行途径,以确定是否确实存在此漏洞,或者是否存在缓解措施以阻止剥削。
修复:HTML5 Web消息操纵(基于beplay体育能用吗DOM的反映)
避免基于DOM的HTML5 Web消息操作漏洞的最有效方法不是发送包含来自任何不受信任源的数据的beplay体育能用吗Web消息。如果应用程序的所需功能意味着此行为是不可避免的,则必须在客户端代码中实施防御,以防止恶意数据损害用户。该验证可以由发送消息的文档或收到消息的文档或两者兼有的文档,具体取决于两个文档之间的信任关系。
参考
脆弱性分类
典型的严重程度
信息
类型索引(HEX)
0x00500E01
类型索引(十进制)
5246465