web渗透--53--客户端资源处理漏洞

1、漏洞描述

客户端资源处理漏洞是指当一个应用程序接受一个由用户控制并指定资源路径的输入时，发生的输入验证漏洞。具体而言，这种漏洞具有控制URL链接到存在于网页中的某些资源的能力。受到的影响可能会因攻击者控制的URL元素类型不同而不同，它通常会采用跨站点脚本攻击方式来进行。

2、测试方法

这类漏洞需要人工测试。当应用程序使用由用户控制的URL引用外部/内部资源时，会发生此漏洞。在这种情况下，可能表面上是实现预期的行为，但实际上是执行恶意的对象。

下面的JavaScript代码显示了一个可能易受攻击的脚本，攻击者能够控制 “location.hash”（源）影响属性为 “src” 的脚本元素。这会导致XSS，因为可以很容易的在受信任网站上注入来自外部的JavaScript。

<script>
	var d=document.createElement("script");
	if(location.