Ricevo una vulnerabilità XSS attraverso la suite di burp, ma quando inserisco lo script manualmente non ottengo la vulnerabilità XSS.
È una vulnerabilità dichiarabile?
Se non riesci a verificare il risultato di uno strumento automatico, non è una buona idea riportare i risultati.
Gli strumenti automatici sono ottimi, ma hanno un problema con i falsi positivi.
Questo riflette XSS? Uno dei motivi comuni per cui questo può essere difficile da riprodurre è a causa dei filtri XSS del browser. Ti consiglio di usare Firefox che non ha un filtro.
Per determinare correttamente se questo è sfruttabile è necessario acquisire una comprensione di ciò che sta accadendo: quali caratteri attraversano il filtro, in quale contesto della pagina si trova il riflesso, ecc.
Se desideri che il team di supporto di Portswigger prenda in considerazione questo aspetto, invia screenshot dell'advisory, richiesta e risposta a [email protected]
Leggi altre domande sui tag web-application xss reflected-xss burp-suite