常见的ASP.NET应用程序安全缺陷
作者: 佚名, 出处:中国IT实验室, 责任编辑: 包春林,
2008-05-13 04:00
保证应用程序的安全应当从编写第一行代码的时候开始做起,原因很简单,随着应用规模的发展,修补安全漏洞所需的代价也随之快速增长。
2.5 跨站脚本执行
◎ 对外发的数据进行编码
跨站脚本执行(Cross-site scripting)是指将恶意的用户输入嵌入到应答(HTML)页面。例如,下面的ASP.NET页面虽然简单,却包含着一个重大的安全缺陷:
| < %@ Page Language="vb" %>
< asp:Label id="Label1" runat="server"> 标签文字 < /asp:Label> < form method="post" runat="server" ID="Form1"> 请在此处输入反馈信息< br> < asp:Textbox ID="feedback" runat="server"/>< br> < asp:Button id="cmdSubmit" runat="server" Text="提交!" OnClick="do_feedback"> < /asp:Button> < /form> < script runat="server"> Sub do_feedback(sender As Object, e As System.EventArgs) Label1.Text=feedback.Text End Sub < /script> |
攻击者可以用JavaScript代码构造一个恶意的查询,点击链接时JavaScript就会运行。举例来说,脚本可以通过下面的用户输入来嵌入:
| < script>alert(document.cookie)
< /script> |
- 本文关键词:
