javascript - OWASP ZAP Fuzzing- 输入参数作为字符串反射(reflect)在响应中,还是 XSS?

标签 javascript xss fuzzy-search owasp zap

原始问题在这里: http://stackoverflow.com/questions/29223275/owasp-zap-reported-alert1-xss-vulnerability-but-no-popup-showed-up

我们的开发人员通过使用 HttpUtility.JavaScriptStringEncode 对 javascript 中的字符串进行编码解决了该问题。在我们使用 OWASP ZAP 对参数进行 fuzz 之后,结果列表中仍然有几个(Reflected)黄色球。单击黄色球中的项目,响应的突出显示是,例如:

DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = "alert(1)";

可以看到,被攻击的代码只是一个简单的字符串,并没有被执行。我们可以说我们现在安全了,而这只是误报吗?

最佳答案

ZAP Fuzzer 不检测漏洞 - 它是一种帮助您查找漏洞的手动工具。 “Reflected”指示只是 - 指示提交的有效负载反射(reflect)在响应中。如果有效载荷是“A”并且响应中有一个“A”,那么您会得到该指示。您需要查看反射负载的上下文以确定那里是否存在漏洞。

Simon(ZAP 项目负责人)

关于javascript - OWASP ZAP Fuzzing- 输入参数作为字符串反射(reflect)在响应中,还是 XSS?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29593415/

上一篇:javascript - .eq(count) 和 [count] 之间的 jQuery 区别

下一篇:javascript - 如何使用 Ajax 在表单提交时加载一个接一个的 div

相关文章:

algorithm - 按字符串相似性对搜索结果进行分组的最有效方法

javascript - Knockout JS 绑定(bind)不使用简单 View 模型输出值

javascript - 调整窗口大小时无法使 div 响应

java - 使用 Java 清理 CSS

javascript - 如何以编程方式让字符串的所有 unicode 实体自行解析?

java - 仅仅是对 XSS 进行编码(而不是转义)是错误的吗?

string - 基于相似性比较字符串?

Solr 模糊搜索 'hotdog' 和 'hot dog'

javascript - 使用 javascript 将元素从隐藏框架解析为可见框架

javascript - 在中间件期间发出 Post 请求

©2024 IT工具网  联系我们