形式劫持(反映)
描述:劫持形式(反映)
当应用程序将用户提供的输入放入HTML表单的操作URL中时,会出现劫持劫持漏洞。攻击者可以使用此漏洞来构建一个URL,如果另一个应用程序用户访问,将修改表单的操作URL,以指向攻击者的服务器。如果用户提交表格,则其内容,包括受害者用户的任何输入,将直接交付给攻击者。
即使用户未输入任何敏感信息,该表格仍可向攻击者提供有效的CSRF令牌,从而使他们能够执行CSRF攻击。在某些情况下,Web浏览器可beplay体育能用吗能会通过使用先前输入的用户输入来自动完成表单来帮助加剧此问题。
修复:表格动作劫持(反映)
考虑硬编码表单动作URL或实施允许值的白名单。
脆弱性分类
典型的严重程度
中等的
类型索引(HEX)
0x00501500
类型索引(十进制)
5248256