1. 首頁
  2. 問答
  3. 我如何知道我的AJAX請求是否容易受到XSS?

我如何知道我的AJAX請求是否容易受到XSS?

2011-06-07 74 views
2

一家安全公司突擊審計了我工作的一個網絡應用程序,並告訴我存在XSS漏洞。我不知道從哪裏開始。我如何知道我的AJAX請求是否容易受到XSS?

這是AJAX:

new Form.Observer('filter', 0.5, function(element, value) 
{ 
    startLoad('proposals');; 
    new Ajax.Updater('proposals', 'http://acme.example.dev/stuff/filter', 
     { 
      asynchronous:true, evalScripts:true, onComplete:function(request) 
       { 
       }, parameters:value + '&authenticity_token=' + encodeURIComponent('base64StringHere') 
     }) 
});

來源

2011-06-07 NullVoxPopuli

+0

你使用什麼網絡服務器?可能有一個XSS過濾器可以放在服務器端。 – Annie 2011-06-07 20:31:35

+0

另外,爲什麼你將evalScripts設置爲true?有沒有你想要執行的腳本?如果他們可以包含用戶輸入,則需要對其進行消毒。 – Annie 2011-06-07 20:32:13

+0

另一個問題 - 「提案」中應該包含哪些內容 - 是純文本還是服務器生成HTML? – Annie 2011-06-07 20:35:41

回答

0

很難肯定地說如何跟蹤漏洞,因爲它並不清楚你的頁面上顯示哪些用戶輸入。既然你使用RoR,最好的地方可能是XSS section of the RoR security guide

您還可以嘗試運行掃描儀,如skipfish。它會嘗試自動檢測XSS和其他安全漏洞,如果發現它們會給你一些細節和文檔以幫助解決問題。

來源

2011-06-07 20:44:46 Annie

+0

我無法得到正確的參數。 = \它說它很容易使用......哈哈。遵循http://code.google.com/p/skipfish/wiki/SkipfishDoc並用我的域名替換他們的域名。 – NullVoxPopuli 2011-06-08 12:56:59

+0

最終得到了它的工作。顯然訂單很重要。哈 – NullVoxPopuli 2011-06-08 13:32:17

相關問題

 相關問題