XSS 跨站脚本攻击漏洞
前几天收到一邮件 说是 我提供的一个网页里有XSS漏洞. URL是 https://helloacm.com/curl/?url=http://itsec.guitch404.eu/headers.php 在修复之前会有一个对话框被执行了. 原因是 HTML标记符号(小于号和大于号) < > 没有被转义 直接导致了可以在返回给用户的数据中夹杂着JS或者其它代码在浏览器里被执行. 通过API就可以看出得到的数据: https://helloacm.com/api/curl/?url=http://itsec.guitch404.eu/headers.php "HTTP\/1.1 200 OK\r\nSet-Cookie: 300gpBAK=R4178785959; path=\/; expires=Tue, 18-Aug-2015 23:47:47 GMT\r\nContent-Type: text\/html; charset=UTF-8\r\nSet-Cookie: 300gp=R394784785; path=\/; expires=Tue, 18-Aug-2015 …