gpt4 book ai didi

javascript - OWASP ZAP Fuzzing- 输入参数作为字符串反射(reflect)在响应中,还是 XSS?

转载 作者:行者123 更新时间:2023-11-30 12:25:22 25 4
gpt4 key购买 nike

原始问题在这里:http://stackoverflow.com/questions/29223275/owasp-zap-reported-alert1-xss-vulnerability-but-no-popup-showed-up

我们的开发人员通过使用 HttpUtility.JavaScriptStringEncode 对 javascript 中的字符串进行编码解决了该问题。在我们使用 OWASP ZAP 对参数进行 fuzz 之后,结果列表中仍然有几个(Reflected)黄色球。单击黄色球中的项目,响应的突出显示是,例如:

DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = "alert(1)";

可以看到,被攻击的代码只是一个简单的字符串,并没有被执行。我们可以说我们现在安全了,而这只是误报吗?

最佳答案

ZAP Fuzzer 不检测漏洞 - 它是一种帮助您查找漏洞的手动工具。 “Reflected”指示只是 - 指示提交的有效负载反射(reflect)在响应中。如果有效载荷是“A”并且响应中有一个“A”,那么您会得到该指示。您需要查看反射负载的上下文以确定那里是否存在漏洞。

Simon(ZAP 项目负责人)

关于javascript - OWASP ZAP Fuzzing- 输入参数作为字符串反射(reflect)在响应中,还是 XSS?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29593415/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com