OWASP ZAP Fuzzing- 输入参数作为字符串反映在响应中,还是 XSS?
OWASP ZAP Fuzzing- Input parameter is reflected back in response as a string, still XSS?
原题在这里:
我们的开发人员通过使用 HttpUtility.JavaScriptStringEncode 对 javascript 中的字符串进行编码解决了该问题。在我们使用 OWASP ZAP 对参数进行 fuzz 之后,结果列表中仍然有几个(Reflected)黄色球。单击黄色球中的项目,响应的突出显示是,例如:
DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = "alert(1)";
可以看到,被攻击的代码只是一个简单的字符串,并没有被执行。我们可以说我们现在安全了,而这只是误报吗?
ZAP Fuzzer 不检测漏洞 - 它是一种帮助您查找漏洞的手动工具。 "Reflected" 指示只是 - 指示提交的有效负载反映在响应中。如果有效载荷是 "A" 并且响应中有一个 "A",那么您会得到该指示。您需要查看反射负载的上下文以确定那里是否存在漏洞。
西蒙(ZAP 项目负责人)
原题在这里:
我们的开发人员通过使用 HttpUtility.JavaScriptStringEncode 对 javascript 中的字符串进行编码解决了该问题。在我们使用 OWASP ZAP 对参数进行 fuzz 之后,结果列表中仍然有几个(Reflected)黄色球。单击黄色球中的项目,响应的突出显示是,例如:
DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = "alert(1)";
可以看到,被攻击的代码只是一个简单的字符串,并没有被执行。我们可以说我们现在安全了,而这只是误报吗?
ZAP Fuzzer 不检测漏洞 - 它是一种帮助您查找漏洞的手动工具。 "Reflected" 指示只是 - 指示提交的有效负载反映在响应中。如果有效载荷是 "A" 并且响应中有一个 "A",那么您会得到该指示。您需要查看反射负载的上下文以确定那里是否存在漏洞。
西蒙(ZAP 项目负责人)