bypass JS---屡试不爽
上一篇 /
下一篇 2011-03-09 16:11:06
年后,多数人抱怨公司的OA不能再保存用户名和密码了,每次登陆都要经过手工输入。究其原因,是当初定义的cookie有效期已经失效了(expires=" + (new Date(2010,12,31)).toGMTString();有效期为365;
)致使cookie无法完整创建,而创建cookie的函数很容易就在页面上找到,于是就bypass呗,把时间改改——提交,cookie成功创建。
最近几个测试项目在紧张进行中,简单view-source一下,JS整个整个地直接保存在页面上,包括AJAX,而且公司还怕代码不可读,在中间还加入了注释。。。方便了自己方便了人人。怎么办?继续bypass呗,页面上所有的验证机制瞬间就被瓦解。进行到这里我没有继续深入进行下去,真的非常的怀疑开发人员他们的安全意识啊。。。
其中更不免有XSS发现,严重的是,XSS还存在于一个邮件系统中,exploit此洞洞制作worm的危害就不说了。。这个应该是最基本的安全意识了,可是他们还是不懂啊~~
看来要唤起开发的意识还不是一天两天的额,只有将意识真正提到他们开发日程上来,我们项目才不会这么脆弱(总不能一直依靠测试人员吧)。。。只有他们做到这点,才能从根本上改善我们的网络环境。
收藏
举报
TAG:
