In una recente discussione su uno scanner di vulnerabilità di sicurezza che restituisce falsi positivi per il rilevamento XSS, ho notato che lo scanner inserisce solo una stringa come "this_is_my_string_" (senza virgolette) e se vede la stringa nella risposta HTML dice che esiste un XSS.
Parlando con l'autore dello scanner, gli ho chiesto come sia possibile affermare che esiste un XSS semplicemente inserendo quel tipo di stringa senza < > "" o qualsiasi carattere speciale (solo _). Dice che lo scanner non include ancora un interprete JS e il rilevamento sarà sempre inaffidabile e sarà necessaria la conferma manuale.
È assolutamente necessario utilizzare un interprete JS per rilevare automaticamente le vulnerabilità XSS?
Sarà molto inaffidabile inserire il localizzatore XSS chiamato 2 di OWASP:
'';!--"<XSS>=&{()}
e cerchi caratteri speciali non codificati nella risposta? Perché?