0

Checkmarx スキャンは、特定の「要素の値が適切にサニタイズまたは検証されずにコードを通過し、最終的にドロップダウン値が渡されるか選択される場所で OnItemDataBound メソッドでユーザーに表示される」と訴えます。例:

strText = dropdownlist.SelectedValue;

また

return dropdownlist.SelectedValue;

これらの値をサニタイズするにはどうすればよいですか?HTML をエンコードおよびデコードして、このような脆弱性の結果を回避することはできますか?

これはドット ネット アプリケーション用であることに注意してください。

4

1 に答える 1

0

これが XSS 脆弱性の発見に言及していると仮定すると、結果の文字列は他の文字列とまったく同じであり、攻撃者によって制御可能です。
そうです、HTML に埋め込む前に、その文字列に対して HTMLEncode を呼び出す (または他の種類のサニタイズを実行し、AntiXSS などのコンテキストで deoending を実行する) 必要があります - 他の外部データの場合と同様です。

于 2016-09-27T12:52:46.090 に答える