0

アプリケーションに対して OWASP ZAP スキャン ツールを実行した後、ツールが次の文字列で攻撃したときに、多数の XSS 脆弱性が確認されました。

" onMouseOver="alert(1);

また

;alert(1)

したがって、そのような文字列はサーバーの応答に表示されます。ブラウザでは何もしませんが。Htmlタグに追加の属性を挿入しようとしているのかもしれませんが、問題を解決するにはどうすればよいですか?

4

2 に答える 2

2

注入された攻撃を囲む html を投稿できれば、それで十分かもしれません。ZAP でアラートを選択すると、[レスポンス] タブで攻撃が強調表示されます。反映された XSS スキャン ルールの誤検知を修正する更新されたアクティブ スキャン ルールをリリースしたばかりなので、必ずルールを更新してから再度スキャンしてください。

于 2014-05-24T08:52:13.297 に答える