原始问题在这里: http://stackoverflow.com/questions/29223275/owasp-zap-reported-alert1-xss-vulnerability-but-no-popup-showed-up
我们的开发人员通过使用HttpUtility.JavaScriptStringEncode在javascript中编码字符串来解决此问题。在我们使用OWASP ZAP模糊参数后,我们仍然在结果列表中得到了几个(反射的)黄色球。单击黄色球中的项目,响应中的突出显示是,例如:
DataSet.FilterBuilder.QueryValuesDictionary [' 57_ctl00'] =" alert(1)&#34 ;;
如您所见,受攻击的代码只是一个简单的字符串而不能执行。我们现在可以说我们现在安全了,这只是假阳性吗?
答案 0 :(得分:3)
ZAP Fuzzer未检测到漏洞 - 它是一种帮助您查找漏洞的手动工具。 "反映"指示只是 - 表明提交的有效负载反映在响应中。如果有效载荷是" A"并且有一个" A"在回复中,你得到了这个指示。您需要查看反射有效负载的上下文,以确定是否存在漏洞。
Simon(ZAP项目负责人)