解释JavaScript安全扫描警告_Javascript_Login_Vbscript

解释JavaScript安全扫描警告

javascript login vbscript

解释JavaScript安全扫描警告,javascript,login,vbscript,Javascript,Login,Vbscript,在我的网站上运行Acunetix显示以下严重漏洞 URL编码的获取输入用户名设置为“onmouseover=prompt（994492）bad=” 输入反映在双引号之间的标记元素中我一直在想用这个能做些什么。我对编码相当陌生，正在寻找一些技巧。输入什么用户名会被认为是恶意的？输入的任何代码不是只在客户端PC上运行，而不是在服务器上运行吗例子？解决？对不起，我刚刚包括了我认为是参考的内容。如果我的网站有被利用的危险，链接到它不是很糟糕吗 <form name="loginForm" ac

在我的网站上运行Acunetix显示以下严重漏洞

URL编码的获取输入用户名设置为“onmouseover=prompt（994492）bad=” 输入反映在双引号之间的标记元素中

我一直在想用这个能做些什么。我对编码相当陌生，正在寻找一些技巧。输入什么用户名会被认为是恶意的？输入的任何代码不是只在客户端PC上运行，而不是在服务器上运行吗

例子？解决？对不起，我刚刚包括了我认为是参考的内容。如果我的网站有被利用的危险，链接到它不是很糟糕吗

<form name="loginForm" action="LoginName.asp" method="post">
      <fieldset>
      <label for="username">User</label>
      <input type="text" name="username" value=""/>
      <label for="password">Password</label>
      <input type="password" name="password"/>

      </fieldset>
  <input type="hidden" name="originalURL" value="">
      <input type="submit" value="Login" class="form-btn" />
</form>


使用者
密码

它似乎不喜欢用户名或OriginalURL，并表示“恶意用户可能会将JavaScript、VBScript、ActiveX、HTML或Flash注入易受攻击的应用程序，以欺骗用户从中收集数据。攻击者可以窃取会话cookie并冒充用户接管该帐户。还可以修改呈现给用户的页面内容。”

您没有引用标记，但我猜您的“用户名”输入的

输入标记格式不正确。例如，可能缺少值属性上的关闭“
，你看到的引文就是它后面的内容
输入的任何代码不是只在客户端PC上运行，而不是在服务器上运行吗
这完全取决于你用它做什么。如果您将它传递给其他解释它的对象（例如，解释SQL的数据库），那么您将很容易受到这种攻击。这种特殊类型的攻击称为SQL注入攻击（|）。
任何可以替代SQL代码的攻击（搜索SQL注入）。可能作为输出HTML写入屏幕的内容。您可以通过转义输入数据来控制这两种情况。
查找跨视距脚本、javascript注入和sql注入，了解系统中的一些漏洞
在转发到服务器之前，应验证所有用户输入并将其视为不受信任的数据。
请引用用户抱怨的标记。请编辑您的问题以添加到网站的链接和/或HTML相关部分的示例。@dVid:相关标记必须在问题中，而不仅仅是链接。更多：我们需要更多的信息来准确评估您的漏洞。还有什么其他信息会有用？我已经调查过了，无法得到任何正确执行的信息。我想这只是一个假阳性。可能是。但调查可能会危及安全的东西绝对没有坏处。：）