Bypass Asp.Net 4.6 "Un valore Request.QueryString potenzialmente pericoloso è stato rilevato dal client"

2

Sto testando un'applicazione in cui l'applicazione non gestisce caratteri speciali ma richiede la convalida in ASP.NET la preleva e genera un'eccezione.

Ci sono stati diversi modi per aggirare questo in precedenza, come mostrato da questi link:

link

link

link

link

C'è qualcosa di nuovo che mi sia sfuggito? Il valore passato in q -parametro viene stampato all'interno di un tag <h1></h1> senza alcuna codifica.

Description: ASP.NET has detected data in the request that is potentially dangerous because it might include HTML markup or script. The data might represent an attempt to compromise the security of your application, such as a cross-site scripting attack. If this type of input is appropriate in your application, you can include code in a web page to explicitly allow it. For more information, see http://go.microsoft.com/fwlink/?LinkID=212874.

Exception Details: System.Web.HttpRequestValidationException: A potentially dangerous Request.QueryString value was detected from the client (q="<img").

Versione:

Version Information: Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.6.1087.0

    
posta Ogglas 28.02.2017 - 12:04
fonte

1 risposta

3

Finché viene utilizzato un set di caratteri standard, non esiste un modo noto pubblicamente disponibile per sfruttarlo nel contesto HTML per qualsiasi browser comune. Fonte: molte ricerche ed esperienze.

    
risposta data 01.03.2017 - 06:10
fonte

Leggi altre domande sui tag