框架注入攻击是针对Internet Explorer 5、Internet Explorer 6、与 Internet Explorer 7攻击的一种。这种攻击导致Internet Explorer不检查结果框架的目的网站,因而允许任意代码像Javascript或者VBScript跨框架存取。
这种攻击也发生在代码透过多框架注入,肇因于脚本并不确认来自多框架的输入。这种其他形式的框架注入会影响所有的不确认不受信任输入的各厂商浏览器和脚本。
如果应用步调不要求差别的框架相互通信,就可以通过完全删除框架名称、使用匿名框架防止框架注入。但是,因为应用步调通常都要求框架之间相互通信,因此这种方法并不可行。
因此,通常使用定名框架,但在每个会话中使用差别的框架,而且使用无法预测的名称。一种可行的方法是在每个根本的框架名称后附加用户的会话令牌,如main_display。
七、文件上传漏洞
文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过 Web 访问的目次上传任意文件,包罗网站后门文件(webshell),进而远程控制网站服务器。
因此,在开发网站及应用步调过程中,需严格限制和校验上传的文件,克制上传恶意代码的文件。同时限制相干目次的执行权限,防范webshell攻击。
八、应用步调测试脚本泄漏