Multiple Vendor Java Servlet Container Cross-Site Scripting

Infrastructure 服务器风险

WASC分类：Cross-Site Scripting

错误等级：

         严重（High）

风险：

         可以偷盗或者操作用户Session和Cookie，这样攻击者可以扮演一个合法的客户进行操作。

技术说明：

         和Cross-Site Scripting一样的问题， Cross-Site Scripting主要是应用程序未对输入参数做严格的校验，Multiple Vendor Java Servlet Container Cross-Site Scripting是服务器自身问题，客户访问一个不存在的URL，服务器会提供一个错误说明页面，告诉客户XXX页面不存在，如果此时这个页面的名字是一串恶意代码，这样用户点了这个链接的话，就会造成恶意代码的执行。

参考：http://www.360doc.com/showWeb/0/54/1280205.aspx