推 backfish :這是送出之後的處理 01/11 12:14
→ backfish :它掃描軟體好像是如果可以送出字串到呈現頁面的話 01/11 12:15
→ backfish :就判為有可能成為弱點 01/11 12:16
→ backfish :也就是說 如果沒判斷refer的話 它一樣可以送出資料 01/11 12:17
→ backfish :例如它$_POST['var']為<Script>alert(1);</script> 01/11 12:18
→ backfish :即便你有用function過濾字串 而且對資料庫沒危害 01/11 12:19
→ backfish :但它就是判定已經能夠把表單post出去 就有弱點 01/11 12:20
→ dinos :但是當送出後變成<Script>alert(1);<\ 01/11 15:50
→ dinos :script> 就已經跟原不一樣了 01/11 15:50
→ dinos :AWVS 應該是不會當作弱點了 01/11 15:53
推 backfish :我暫時先用refer這招 過了下星期檢驗再說 01/11 16:03
→ backfish :感謝你提供的方法 我會再另外實驗看看 01/11 16:04
→ backfish :裡面有人提到html purifier 我有裝來用 不過掃沒過 01/11 16:05
→ backfish :^^^^版裡面 搜尋標題XSS 01/11 16:10