正确删除经典ASP中的错误字符串

时间:2017-03-03 15:16:56

标签: vbscript asp-classic owasp zap

我在经典的asp应用程序上执行了OWASP-ZAP安全测试。它带有Format String Vulnerability

报告称,它使用ZAP%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s作为某些表单输入字段参数的攻击(例如username)。

报告建议

  

使用正确删除错误字符重写后台程序   字符串。

在我的案例中,这实际上意味着什么? 在这种情况下,在使用request()时是否足以替换特殊字符 - 例如替换%中的request(username)? 或者我是否必须删除客户端上的错误字符?

参考:https://www.owasp.org/index.php/Format_string_attack

1 个答案:

答案 0 :(得分:1)

这可能是假阳性。我需要看到更多的代码和提供给它的输入,它触发了ZAP的警告。

在客户端采取任何与安全相关的操作永远不可信任,因为客户端验证可以用最少的技术诀窍来规避。您不得不在服务器端执行清理操作,而无法扩充执行清理的函数/ subs。