基于 DOM(类型 0)的 XSS 不需要向服务器发送恶意代码,因此它们也可以使用静态 HTML 页面作为攻击向量。此处的虚拟攻击字符串示例如下:
http://www.xssed.edu/home.html#<script>alert("XSS")</script>
我很熟悉 ModSecurity 提供保护以防止 PDF 中的 XSS 攻击被认为是类型 0 攻击,但是我的问题是 ModSecurity 是否通常可以防止这种类型的 XSS,并且您认为这种漏洞的影响是什么.
最佳答案
每个 Web 应用程序防火墙都在使用攻击签名工作。 Type-0 XSS 生成与反射 XSS 相同的签名,因此这可能会被任何 WAF 阻止。 Type-0 XSS 不是服务器站点代码漏洞导致的,但是请求显然是在页面加载过程中到达服务器的。 唯一可能阻止 WAF 阻止此类攻击的问题是文件的扩展名,但我相信在您的示例中,这可能会被阻止。
关于xss - ModSecurity 针对 XSS 类型 0 攻击和影响的保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4402291/