我正在使用旧版应用程序,当我们从查询字符串中获取输入时,该应用程序存在一些[[跨站点脚本-反映]]问题。 Fortify代码扫描(WebInspect)工具正在报告该问题。例如:
我有一个名为ProgressDisplay.aspx的页面,该页面将reportPath作为查询字符串参数。
/ReportViewer/ProgressDisplay.aspx?reportPath=%27%3b%61%6c%65%72%74%28%35%36%36%34%35%29%2f%2f
在上面的代码中,reportPath是一个查询字符串参数,在其中传递了恶意有效负载,该恶意负载在响应中显示了警报。
上方有效负载在渲染后变为alert(56645)
。
像这样,有几个类似的问题正在报道。是否有任何集中化的方法可以通过使用任何ASP .Net库一次解决所有问题,或者在配置中进行一些更改而不是修复每个问题,或者我必须一一解决所有问题?
修复后,当插入恶意脚本时,页面不应返回200的响应。我们必须返回一个错误的请求作为回应。
我正在使用具有一些跨站点脚本的旧版应用程序-当我们从查询字符串中获取输入时反映出问题。 Fortify代码扫描(WebInspect)正在报告该问题...