3

ウェブフォームを使用しています

私は自分のサイトでセキュリティ テストを行っていますが、URL を通過させようとすると、次のような QueryString が返されます。

'"-->netsparker(0x00286A) mysite/Error/PageNotFound.aspx?aspxerrorpath=%27%22--%3E%3C/style%3E%3C/script%3E%3Cscript%3Enetsparker(0x0030C5)%3C/script %3E

「/」アプリケーションでサーバー エラーが発生しました。

潜在的に危険な Request.QueryString 値がクライアントから検出されました 潜在的に危険な Request.Path 値がクライアント (>) から検出されました。

私はweb.configにあります

<httpRuntime  enableVersionHeader="false"/>
<customErrors mode="On"  defaultRedirect="~/Error/GeneralError.aspx">
  <error statusCode="404" redirect="~/Error/PageNotFound.aspx" />
  <error statusCode="403" redirect="~/Error/GeneralError.aspx" />    
  <error statusCode="500" redirect="~/Error/GeneralError.aspx" />      
</customErrors>

    ..................

<pages controlRenderingCompatibilityVersion="4.0" viewStateEncryptionMode="Always">

どうすればそれを修正できますか?

4

1 に答える 1

1

あなたのエラーは、ASP プラットフォームに組み込まれているセキュリティ ルールに違反しているためです。これらのルールは、インジェクションおよびクロスサイト スクリプティング攻撃を防ぎます。MVC を使用している場合は、これを処理できる便利な AntiForgeryToken があります。

スコット・ハンセルマンの投稿を見てください

http://www.hanselman.com/blog/ExperimentsInWackinessAllowingPercentsAnglebracketsAndOtherNaughtyThingsInTheASPNETIISRequestURL.aspx

于 2013-11-15T20:53:56.640 に答える