我的网站上运行的Acunetix显示以下的JavaScript的Acunetix安全扫描警告
URL编码的GET输入用户名严重漏洞被设置为“的onmouseover =提示(994492)不良=”输入反映双之间的标记元素中引号。
我试图弄清楚可以用这个做什么。我对编码相当陌生,并且正在寻找一些提示。什么可以被视为恶意的用户名输入?输入的代码是否只能在客户端PC上运行,而不在服务器上运行?
例子?解决方案?对不起,我只包括了我相信它引用的内容。链接到我的网站,如果它有被剥削的危险,这不是不好吗?
<form name="loginForm" action="LoginName.asp" method="post">
<fieldset>
<label for="username">User</label>
<input type="text" name="username" value=""/>
<label for="password">Password</label>
<input type="password" name="password"/>
</fieldset>
<input type="hidden" name="originalURL" value="">
<input type="submit" value="Login" class="form-btn" />
</form>
这似乎并不像用户名或OriginalURL并说“恶意用户可以插入JavaScript,VBScript中的ActiveX,HTML或Flash成漏洞的应用程序,以便从他们收集的数据来欺骗用户。一个攻击者可以窃取会话cookie并接管账户,冒充用户,也可以修改呈现给用户的页面内容。“
https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet – epascarello 2012-01-12 01:24:24