Print 🖨 PDF 📄 eBook 📱

WSTG-INFO-05

HTML的註釋可能會因為測試時寫上,更新時不小心沒有移除而洩露敏感資料,所以要測試時要注意Meta tag下列要點

1.要協助檢查原始檔是否有不應該出現的訊息,像

<!– Query: SELECT id, name FROM app.users WHERE active=’1′ →

<!– Use the DB administrator password for testing:  [email protected]@a$$w0rD →

2.檢查HTML的版本是否合法,Data Type Definition(DTD)的URL是屬於那一類型

strict.dtd – default strict DTD

loose.dtd – loose DTD

frameset.dtd – DTD for frameset documents

3.有一些Meta tags不能提供攻擊的vectors,是但仍會讓攻擊者收集到個人資料像是

<META name=”Author” content=”Andrew Muller”>

4.常見但是不符合WCAG(Web Content Accessibility Guidelines)規範的Meta refesh tag 

<META http-equiv=”Refresh” content=”15;URL=https://www.owasp.org/index.html”>

5. SEO TKD的K關鍵字keywords,除了robots.txt之外,也可以用meta tag來管理要不要給robos抓取

<META name=”keywords” lang=”en-us” content=”OWASP, security, sunshine, lollipops”>

工具有

Wget (命令列工具)

Browser “view source” function (F12 檢視原始檔)

Eyeballs (眼球)

Curl (命令列工具)

最後修改日期: 12/11/2020

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。