我们有一家网络安全公司评估我们的网站是否存在安全攻击,其中一个漏洞是我们在asp:boundcolumns中有字段,这是一个XSS攻击。
我们将这些更改为asp:templatecolumns并添加了html编码的控件。
在页面网址中,有一个查询字符串需要一个id和另一个参数并进行编码。该页面使用查询字符串值来访问数据库,并将从数据集返回的列绑定到数据网格中的列。
现在我们需要使用之前/之后的场景测试更改。 如何在asp:boundcolumn上执行XSS攻击?
答案 0 :(得分:2)
最简单的方法是将<script>alert('XSS');</script>作为要显示的值。
在不了解您的架构的情况下,这只是一个简单的测试案例。但这不是唯一的测试案例。
我建议熟悉漏洞本身。我建议查看OWASP Top 10 2013 - A3-Cross-Site Scripting (XSS)以获取更多信息。在参考部分中有测试和规避的方法。