ASP代码审计之JS本地验证漏洞分析

CracerCracer 2016-1-5 代码审计 526 0 3

JS本地验证漏洞分析

 

概述:表单提交是当前Web应用中的重要内容,用户可以通过这种方式与服务器进行数据传递。在通常情况下,会在提交表单之前在服务器上进行表单数据的验证,这样可以节省服务器资源,但同时也为服务器带来了安全漏洞。

漏洞原理:顾名思义Web程序只是在客户端用JavaScript验证了合法性,并没有在服务端验证数据的合法性。

漏洞代码:下面以上传页面做为案例分析

漏洞利用:攻击者只需要禁用浏览器中的活动脚本和Javascript脚本就可以发动一次攻击。禁用如下图所示:

 

1

 

第二种方法制作个HTML页面,只需将JS脚本删除,再将Action值改成需要攻击的目标网址即可。

漏洞修复:客户端和服务端都要做验证,客户端做验证能提高用户体验,服务端再验证能保证数据安全。

转载请注明来自Cracer,本文标题:《ASP代码审计之JS本地验证漏洞分析》

喜欢 (3) 发布评论
发表评论


Top