信息安全规划文档的编写 (转发)
看!这里有三种非Web型的XSS注入漏洞 (转发)
原文:https://websec.ca/publication/Blog/Three-Non-Web-based-XSS-Injections
0x00 前言
前些天,我跟老友Chris Navarrete进行了一次深入的交流,当谈及为什么选择这个职业时,我给出的理由是:
我们喜欢让事物以迥异于初衷的方式运作,例如利用缓冲区溢出来改变执行流程的方向、将JavaScript代码注入到不该注入的地方。
对于大部分Web安全方面的教程来说,都是教我们如何以非常简单的方式来测试XSS漏洞 “XSS漏洞”):在反射或存储Web请求中的数据输入时,没有进行严格的安全过滤处理,从而导致反射型XSS或存储型XSS漏洞。
通常情况下,当讨论应用程序的安全性时,我们都知道“永远不要信任任何数据输入”这道圣谕;遗憾的是,并非所有开发人员都透彻地理解了“任何数据输入”的真正含义,因此,攻击者总有许多可乘之机。下面,我们举例进行说明:
