Vulnerabilità XSS attraverso la suite di burp

0

Ricevo una vulnerabilità XSS attraverso la suite di burp, ma quando inserisco lo script manualmente non ottengo la vulnerabilità XSS.

È una vulnerabilità dichiarabile?

    
posta Dhananjay 31.08.2018 - 19:06
fonte

2 risposte

4

Se non riesci a verificare il risultato di uno strumento automatico, non è una buona idea riportare i risultati.

Gli strumenti automatici sono ottimi, ma hanno un problema con i falsi positivi.

    
risposta data 31.08.2018 - 19:25
fonte
0

Questo riflette XSS? Uno dei motivi comuni per cui questo può essere difficile da riprodurre è a causa dei filtri XSS del browser. Ti consiglio di usare Firefox che non ha un filtro.

Per determinare correttamente se questo è sfruttabile è necessario acquisire una comprensione di ciò che sta accadendo: quali caratteri attraversano il filtro, in quale contesto della pagina si trova il riflesso, ecc.

Se desideri che il team di supporto di Portswigger prenda in considerazione questo aspetto, invia screenshot dell'advisory, richiesta e risposta a [email protected]

    
risposta data 03.09.2018 - 09:25
fonte

Leggi altre domande sui tag