作者回复: 这一讲只关注xss,sql注入是下一讲的内容哈~
作者回复: 也许是,不过最终的安全性,还是得看具体的场景。比如,万一替换了过后,还加了个strip呢。。
作者回复: 是的,就是通过发微博的形式进行再次传播。
作者回复: 不算存储型XSS,因为传播是因为微博的内容是一个反射型XSS链接。而这个内容本身实际不会执行脚本,需要用户点击才能发起XSS。
作者回复: 责任肯定是都有的。问这个问题也是希望引导大家思考下安全在公司中的定位~
作者回复: 责任肯定是各方都有的。但锅也得有人背。尤其是如果事件影响大到某个程度,比如损失了10%的用户或者好几百万,肯定是需要有人受到惩罚的。。。
作者回复: 同学,未经授权发起攻击有法律风险,建议不要冒险~