针对我们的应用程序运行OWASP ZAP扫描工具后,当该工具使用此字符串进行攻击时,我们会看到许多XSS漏洞:
" onMouseOver="alert(1);
或
;alert(1)
因此这些字符串将出现在服务器响应中。虽然它在浏览器中没有做任何事情。也许它正在尝试向Html标签插入其他属性,但如何解决问题?
答案 0 :(得分:2)
如果您可以发布围绕注入攻击的html,那么这可能已经足够了。如果在ZAP中选择警报,则攻击将在“响应”选项卡中突出显示。 请注意,我们刚刚发布了更新的主动扫描规则,用于修复反映的XSS扫描规则中的误报,因此请确保更新规则然后再次扫描。
答案 1 :(得分:0)
了解跨站点脚本漏洞可以对您的应用程序执行的操作。简短的回答是输入验证或输出编码,因此您不会将恶意输入视为实际脚本。
答案很长,可在以下网址找到:https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS)
解决方案备忘单在这里:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
希望这有帮助