La visualizzazione di contenuti javascript nell'applicazione si qualifica come XSS?

0

Ho eseguito una scansione delle vulnerabilità sulla mia applicazione usando la suite di Burp. Alcuni dei miei campi di input possono contenere codice HTML (ad esempio <script>alert("exploited")</script> ) e verranno visualizzati come testo ma mai eseguiti come HTML o script. Per essere specifico è archiviato come una stringa e viene sempre trattato come tale.

Trova qui sotto lo screenshot:

Credo che questo non possa essere trattato come una vulnerabilità XSS, dal momento che lo script non viene mai realmente eseguito. È corretto, o sono vulnerabile qui?

    
posta Pruthvi Raj Nadimpalli 25.01.2018 - 14:00
fonte

1 risposta

5

Quando questo è il codice che l'utente malintenzionato ha provato a iniettare, allora questo è il comportamento previsto di un'applicazione web sicura. Apparentemente l'applicazione sfuggiva correttamente al codice javascript e dimostrava la possibilità di stamparlo come testo senza eseguirlo. Tieni presente che <script>alert('you can also "inject" valid JavaScript code into Stackexchange without it getting executed by browsers of any other users')</script> .

Una soluzione diversa sarebbe quella di filtrare l'input dell'utente per rimuovere tutti i caratteri "cattivi" come < , > , ' o " . Ma tali soluzioni sono solo la seconda migliore, perché potrebbero comportare comportamenti imprevisti sotto forma di input non dannoso (cosa intendi con, il mio nome utente non può essere <'_'> ?) O potrebbero non catturare ogni carattere "malvagio" che un aggressore potrebbe inventare.

    
risposta data 25.01.2018 - 14:26
fonte

Leggi altre domande sui tag