在我们的Web应用程序(WebInspect)上运行安全扫描后,它报告了一些带有一些aspx页面的XSS漏洞。
请求网址似乎可以更改表单操作。
实施例,
/Website/somepage.aspx/'+alert(1234)+'
表单操作更改为
action="'+alert(1234)+'"
为了排除我们的应用程序代码,我尝试使用默认的新Visual Studio webform项目,它允许相同的。
如何防止这种情况?
我一直被告知,反映到页面中的未经验证的输入是坏消息。
答案 0 :(得分:1)
在动作中添加一些内容,如下所示:
<form id="id_form" runat="server" action="Default.aspx">
当未指定操作表单时,asp会填充您在最后一个斜杠旁边的URL中编写的此属性。如果你写了一些东西,那么asp就不会重写它。
答案 1 :(得分:0)
请检查您的global.asax - Application_Start以查看是否已定义任何路线。