HTML5 beplay体育能用吗Web消息操纵(存储基于DOM)
描述:HTML5 Web消息操纵(基于beplay体育能用吗DOM的存储)
当存储用户输入并随后嵌入DOM的一部分中,然后将基于DOM的漏洞存储在该响应中,然后通过客户端脚本以不安全的方式处理该响应。攻击者可以利用数据存储来控制响应的一部分(例如,JavaScript字符串),可用于触发基于DOM的漏洞。
当脚本将可控beplay体育能用吗数据作为Web消息发送到浏览器中的另一个文档时,HTML5 Web消息操作会产生。攻击者可能能够使用漏洞来构建一个URL,如果另一个应用程序用户访问,将导致用户的浏览器发送包含攻击者控制下的数据的Web消息。beplay体育能用吗
漏洞的潜在影响取决于目标文档对传入消息的处理。如果目标文档信任发件人不要在消息中传输恶意数据,并以不安全的方式处理数据,则两个文档的联合行为可能允许攻击者妥协应用程序用户。
Burp Suite会使用静态代码分析自动识别此问题,这可能会导致实际上并非可利用的误报。应审查相关的代码和执行途径,以确定是否确实存在此漏洞,或者是否存在缓解能力以阻止剥削。
修复:HTML5 Web消息操纵(存储beplay体育能用吗基于DOM)
避免基于DOM的HTML5 Web消息操作漏洞的最有效方法不是发送包含来自任何不受信任源的数据的beplay体育能用吗Web消息。如果应用程序的所需功能意味着此行为是不可避免的,则必须在客户端代码中实施防御,以防止恶意数据损害用户。该验证可以由发送消息的文档或收到消息的文档或两者兼有的文档,具体取决于两个文档之间的信任关系。
参考
脆弱性分类
典型的严重程度
信息
类型索引(HEX)
0x00500E02
类型索引(十进制)
5246466