摘要:
转自:http://hi.baidu.com/gongyanlei123/blog/item/d5a5d07196a2d20e8701b0b0.html因为对DOM XSS不清楚,查了下,顺便转载两篇文章做下记录这个漏洞往往存在于客户端脚本,如果一个Javascript脚本访问需要参数的URL,且需要将该信息用于写入自己的页面,且信息未被编码,那么就有可能存在这个漏洞。(一)DOM—hased XSS漏洞的产生DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文 阅读全文
摘要:
转自:http://hi.baidu.com/1984holmes/blog/item/ca0cd055596007183b29357f.html如果你不清楚什么是DOM XSS,请先学习一遍webappsec上的paper《DOM Based Cross Site Scripting or XSS of the Third Kind》(http://www.webappsec.org/projects/articles/071105.shtml)。 传统的依靠特征码探测的Web漏洞扫描器是扫不到DOM XSS的,为了更好的发现和修复漏洞,所以有必要研究下DOM XSS的检测。 一年多以前,针 阅读全文