我的網站上運行的Acunetix顯示以下的JavaScript的Acunetix安全掃描警告
URL編碼的GET輸入用戶名嚴重漏洞被設置爲「的onmouseover =提示(994492)不良=」輸入反映雙之間的標記元素中引號。
我試圖弄清楚可以用這個做什麼。我對編碼相當陌生,並且正在尋找一些提示。什麼可以被視爲惡意的用戶名輸入?輸入的代碼是否只能在客戶端PC上運行,而不在服務器上運行?
例子?解決方案?對不起,我只包括了我相信它引用的內容。鏈接到我的網站,如果它有被剝削的危險,這不是不好嗎?
<form name="loginForm" action="LoginName.asp" method="post">
<fieldset>
<label for="username">User</label>
<input type="text" name="username" value=""/>
<label for="password">Password</label>
<input type="password" name="password"/>
</fieldset>
<input type="hidden" name="originalURL" value="">
<input type="submit" value="Login" class="form-btn" />
</form>
這似乎並不像用戶名或OriginalURL並說「惡意用戶可以插入JavaScript,VBScript中的ActiveX,HTML或Flash成漏洞的應用程序,以便從他們收集的數據來欺騙用戶。一個攻擊者可以竊取會話cookie並接管賬戶,冒充用戶,也可以修改呈現給用戶的頁面內容。「
https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet – epascarello 2012-01-12 01:24:24