最近我被要求测试我们公司的内部网站(只有连接到我们网络的电脑才能访问)。我意识到,文本字段输入运行输入的html代码。我的老板说这不是什么大不了的事。我们记录每一个变化,所以在不太可能的情况下,员工做了一些事情,我们会知道。我不是一个Web开发人员,所以我的问题是,是否存在某种恶意,因为这个缺陷可能会对我们的组织产生默默的影响?或者,我的老板是正确的,任何真正的恶意行为都会非常明显并且相当迅速地处理。我们的组织与宗教有关系,并处理大量资金,因此受到关注。接受HTML代码的HTML文本输入真的很糟糕,还是很糟糕?
0
A
回答
1
是的,这可能是一个问题。如果它运行HTML代码,那么任何攻击者都可以输入他们自己的脚本(使用脚本标记)并运行他们自己的程序(有多糟糕,取决于所做的事情)。如果他们输入的代码保存到网站,并在有人访问该网站的该部分时运行,那么这是一个很大的(呃)交易。他们可以注入他们的恶意代码并影响每个人。它被称为XSS(跨站点脚本)。如果一切都被记录下来,那么它可能会抓住它们,但是直到它被发现以及有多少人受到影响才能成为问题。更多信息请参见下面的链接。
+0
好的,我没有考虑过运行脚本。这绝对是非常危险的,虽然我喜欢认为我们的员工相当值得信赖,但任何知道这一点的人都会造成相当大的损失。感谢大家,我会和老板讨论解决问题的方法。 – Edward
相关问题
- 1. 兰特()真的很糟糕吗?
- 2. 在前端解析HTML是不是很糟糕的形式?
- 3. 公有变量是不是很糟糕?
- 4. UIView的变换看起来很糟糕
- 5. Android的横向模式很糟糕
- 6. 在html中使用<style>和<script> ...是否真的很糟糕?
- 7. PHPExcel公式变得很糟糕
- 8. C++连接糟糕
- 9. 我的代码是草率/糟糕吗?
- 10. 为什么Java Swing html字体渲染看起来很糟糕?
- 11. Laravel上的PHP对于高流量来说真的很糟糕
- 12. Codeigniter中的助手类 - 他们真的很糟糕,为什么?
- 13. Apache基准真的很糟糕,有什么建议吗?
- 14. 在MVC中使用会话对象,它真的很糟糕吗?
- 15. 非确定性运行时间真的很糟糕吗?
- 16. HTML消毒 - 糟糕的标记?
- 17. 改变jButtons的功能是不是很糟糕的设计?
- 18. setShared导致文本到图层并且看起来很糟糕
- 19. SQL存储过程性能很好SQL2008,但在SQL2005很糟糕
- 20. 没有构造函数的依赖注入:真的很糟糕吗?
- 21. AlarmManager和BroadcastReceiver而不是服务 - 是不是很糟糕? (超时)
- 22. 检查每个asp.net请求的Properties.Settings设置是否很糟糕?
- 23. 是case statement1 + statement2:糟糕的编码?
- 24. 在init中向self()发送消息是不是很糟糕?
- 25. setInterval一直在运行是不是很糟糕?
- 26. 在 - (void)dealloc中同步NSUserDefaults是不是很糟糕?
- 27. 在查询中使用$ _SESSION ['id']是不是很糟糕?
- 28. 在编写索引时重启MySQL是不是很糟糕?
- 29. 谷歌日历嵌入,但看起来很糟糕
- 30. C2dM的糟糕的一面
我投票关闭这一问题作为题外话,因为它是关于计算机安全,而不是编程。 – duskwuff
也许这对于http://security.stackexchange.com/来说是一个更好的问题。但作为一般的经验法则,我不会允许任何脚本从用户输入中执行,而无需设置隔离沙箱来运行脚本除非你100%总是信任用户环境。 – joverall22
我不同意这不是编程。这绝对是程序员*应该非常清楚的东西。在你的表单中允许插入代码是不好的编程行为,是程序员*应该拥有的讨论。 编辑:我同意部分与joverall22 ...应该避免...虽然我甚至不会在我“100%总是信任用户”的环境中使用它。用户有一种“意外”的做法。 – akuta