我一直致力于解决Acunetix Web Scanner突出显示的某些漏洞,特别是与XSS相关的漏洞。
www.mywebsite.com/signed-out/blahblah
由于重写规则,'blahblah'被视为查询字符串的参数,即。
www.mywebsite.com/internal/path/LoggedOut.aspx?reason=blahblah
该工具注意到,您可以输入javascript:prompt(919416); queryString,而ASP.NET似乎会自动将表单操作修改为:
<form name="aspnetForm" method="post" action="javascript:prompt(919416);?reason=session-expired%2fjavascript%3aprompt(919416)%3b" id="aspnetForm">
其中反映了输入queryString。但是:
我还是这个领域的新手,请温柔!任何帮助和建议都非常感谢。