gpt4 book ai didi

xss - ModSecurity 针对 XSS 类型 0 攻击和影响的保护

转载 作者:行者123 更新时间:2023-12-04 17:11:16 26 4
gpt4 key购买 nike

基于 DOM(类型 0)的 XSS 不需要向服务器发送恶意代码,因此它们也可以使用静态 HTML 页面作为攻击向量。此处的虚拟攻击字符串示例如下:

http://www.xssed.edu/home.html#<script>alert("XSS")</script> 

我很熟悉 ModSecurity 提供保护以防止 PDF 中的 XSS 攻击被认为是类型 0 攻击,但是我的问题是 ModSecurity 是否通常可以防止这种类型的 XSS,并且您认为这种漏洞的影响是什么.

最佳答案

每个 Web 应用程序防火墙都在使用攻击签名工作。 Type-0 XSS 生成与反射 XSS 相同的签名,因此这可能会被任何 WAF 阻止。 Type-0 XSS 不是服务器站点代码漏洞导致的,但是请求显然是在页面加载过程中到达服务器的。唯一可能阻止 WAF 阻止此类攻击的问题是文件的扩展名,但我相信在您的示例中,这可能会被阻止。

关于xss - ModSecurity 针对 XSS 类型 0 攻击和影响的保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4402291/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com