Eseguo uno scanner di vulnerabilità sul mio sito web che mi ha mostrato un paio di vulnerabilità che assomigliano a questo:
http://.../search?text=&ClassIDNames[37]=<script>alert('Found')</script>&ActiveFacet[ClassID]=37
ma quando si copia l'URL nel browser non mi dà l'output di avviso ma il risultato della ricerca per l'input corrispondente. È tutto ciò che devo aggiustare o è niente di cui preoccuparsi? O devo fare qualcos'altro per riprodurlo in qualche modo?
Alcuni scanner cercano semplicemente la stringa inserita ("trovato" in questo caso) da qualche parte nella pagina, se "trovato" è nei risultati di ricerca, quindi lo classificherà come risultato positivo.
Se la stringa XSS viene interpretata come una stringa nella funzione di ricerca (letteralmente alla ricerca della stringa <script>alert('Found')</script> , allora puoi calcolarla come un falso positivo - lo scanner ha visto la propria stringa iniettata nella pagina risultante.
Il tuo contenuto di origine <a href="/search?text="><script>alert('Found')</script> sembra mostrare che la tua applicazione è vulnerabile a XSS. Penso che il tuo browser stia semplicemente mitigando l'iniezione perché rileva che è in linea javascript.
Forse stai usando un framework che sta inviando al tuo browser delle intestazioni di mitigazione. Guarda le utili intestazioni HTTP OWASP e in particolare la politica di sicurezza X-XSS e di sicurezza dei contenuti: link .
Poiché alcuni browser (quelli vecchi) non onorano quelle intestazioni, ti consiglio caldamente di disinfettare correttamente ogni input e di non fare affidamento su tali soluzioni di mitigazione.
Hai una guida davvero buona e completa per prevenire XSS su link
Saluti.
Forse il codice XSS è finito all'interno di un tag il cui contenuto è interpretato come solo testo, come <title> o <textarea> . Prova a prepensionare il codice XSS con </textarea> o </title> se questo è il caso.
Potrebbe anche essere finito in un attributo di un elemento, nel qual caso è necessario chiudere l'attributo e l'elemento utilizzando "> o '>
Normalmente le vulnerabilità nel sito Web possono essere eseguite manualmente e utilizzando gli strumenti dello scanner. Determinare innanzitutto le vulnerabilità utilizzando gli strumenti Scanner e quindi controllare Falso positivo , significa verificare i risultati della scansione. Durante la verifica manuale se il problema non viene rilevato, è Falso positivo significa che verrà eliminato. Nel caso in cui XSS il browser possa impedire o filtrare XSS.Try con la disattivazione del filtro XSS nel browser. Se non ci sono problemi, non è necessario preoccuparsi di questo vulnerabilità.
Le vulnerabilità determinate dallo scanner non sono accurate, comunque dobbiamo controllare ogni paramaters e url vulnerabili che viene mostrato nello scanner.
In alcuni casi, anche lo scanner potrebbe aver lasciato delle vulnerabilità, per cui dobbiamo controllare manualmente il sito web.
Durante la verifica del risultato dello scanner, copiando l'url nel browser, se non fornisce l'avviso, può essere indicato come Falso positivo . I browser come Chrome , Firefox , IE possono anche bloccare l'XSS.
Inorder per disattivare questo filtro in firefox e IE leggi questo articolo: link
Per evitare che l'utilizzo della vulnerabilità di Xss possa passare attraverso link
Lo stai facendo in Chrome? Chrome ha un auditor XSS che può bloccare un sacco di attacchi XSS. Se sei in Chrome, puoi aprire la finestra degli Strumenti per gli sviluppatori e mostrerà quando gli attacchi XSS sono bloccati.
Potresti anche provare un browser diverso come IE.
Leggi altre domande sui tag vulnerability xss