Question

我们使用izenda作为我们的报告经理（第三方）一切都很好。我们正在使用asp.net MVC C＃。但我们在其设置页面状态和安全性方面存在安全问题。 utils的

他们在没有编码的设置页面中显示用户代理

我通过

中的实时HTTP标头工具更改了我的用户代理请求

Mozilla/5.0 (MSIE 10.0; Windows NT 6.1; Trident/5.0)

到

Mozilla/5.0<script>alert('test xss')</script> (MSIE 10.0; Windows NT 6.1; Trident/5.0)

我看到当我设置JavaScript时会向我显示警报

因为它向我呈现了这些元素

<br>Ad Hoc version: 6.8.0.3
<br>.NET version: v2.0.50727
<br>ResponseServer: rs.aspx
<br>AdHocConfig: CustomAdHocConfig (DatabaseAdHocConfig).
<br>Windows version: Microsoft Windows NT 6.2.9200.0
<br>Server version: Microsoft-IIS/8.0
<br>Browser data: Mozilla/5.0<script>alert('test xss')</script> (MSIE 10.0; Windows NT 6.1; Trident/5.0)
<br>Maximum processors count: 8
<br>Current processors count: 4
...

我添加了安全报告 enter image description here

我在渲染html元素之前无法改变，因为它是由izenda的dll制作的，我只是想知道有没有办法为整个系统编写用户代理？

http请求用户代理编码

0 个答案: