Beim Durchsehen von Analysen habe ich gesehen, dass jemand meine Warenkorbseite besucht und Folgendes zur URL hinzugefügt hat:
%Vor%Was würde das tun, und sollte ich irgendwelche Sicherheitsprobleme in Betracht ziehen?
Es ist ein Versuch, JavaScript durch Penetration-Tool Acunetix zu injizieren. Der gezielte Angriff ist DOM-basiertes XSS (wie die Funktion domxssExecutionSink zeigt). Wenn Sie den Abfrageparameter wvstest direkt auf der Seite ausgeben würden, wäre ihr JavaScript ausgeführt worden.
Lesen Sie mehr über XSS atacks (und wie man sie mildert) bei OWASP
Es wird die Daten an Ihren Server übergeben.
Was als nächstes passiert, hängt von Ihrem serverseitigen Code ab.
Wenn Sie wvstest als Abfragezeichenfolge lesen und dann (ohne ordnungsgemäße Desinfektion) in ein HTML-Dokument einfügen würden, hätten Sie ein XSS-Sicherheitsloch .
Tags und Links javascript xss