OWASP模糊-输入参数作为一个字符串被反射回来,仍然是XSS?
OWASP模糊-输入参数作为一个字符串被反射回来,仍然是XSS?
提问于 2015-04-12 19:03:06
最初的问题是:http://stackoverflow.com/questions/29223275/owasp-zap-reported-alert1-xss-vulnerability-but-no-popup-showed-up
我们的开发人员通过使用HttpUtility.JavaScriptStringEncode在javascript中编码字符串来解决这个问题。在使用OWASP对参数进行模糊处理之后,结果列表中仍然有几个(反射的)黄色球。在黄色球中单击该项目,响应中的突出显示是,例如:
DataSet.FilterBuilder.QueryValuesDictionary'57_ctl00‘=“警报(1)”;
正如您所看到的,受攻击的代码只是一个简单的字符串,不被执行。我们是否可以说我们现在是安全的,而这只是一个假阳性?
回答 1
Stack Overflow用户
回答已采纳
发布于 2015-04-13 10:15:53
ZAP Fuzzer不检测漏洞--它是帮助您查找漏洞的手动工具。“反射”表示只是--表明所提交的有效载荷反映在响应中。如果有效载荷是"A“,并且在响应中有一个"A”,那么您就会得到这个指示。您需要查看反射有效负载的上下文,以确定那里是否存在漏洞。
西蒙(ZAP项目负责人)
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/29593415
复制相关文章
相似问题
腾讯云开发者
