3

DOM ベース (タイプ 0) の XSS では、悪意のあるコードをサーバーに送信する必要がないため、静的な HTML ページを攻撃ベクトルとして使用することもできます。ダミーの攻撃文字列の例は次のとおりです。

http://www.xssed.edu/home.html#<script>alert("XSS")</script>

ModSecurity がタイプ 0 攻撃と見なされる PDF での XSS 攻撃に対する保護を提供することはよく知っていますが、私の質問は、ModSecurity が一般的にこのタイプの XSS を防止するかどうか、またあなたの意見では、そのような脆弱性の影響はどのようなものかということです。

4

2 に答える 2

0

すべての Web アプリケーション ファイアウォールは、攻撃のシグネチャを使用して機能しています。Type-0 XSS は反映された XSS と同じ署名を生成するため、これはおそらく WAF によって停止されます。Type-0 XSS はサーバー サイト コードの脆弱性により発生しませんが、ページの読み込み中にリクエストがサーバーに到達することは明らかです。WAF がこの種の攻撃を阻止するのを妨げる唯一の問題はファイルの拡張子ですが、あなたの例ではおそらく阻止されると思います。

于 2015-04-27T21:02:20.137 に答える