0

在对我们的 Web 应用程序 (WebInspect) 运行安全扫描后,它报告了一些带有一些 aspx 页面的 XSS 漏洞。

请求 URL 似乎能够更改表单操作。

例子,

/Website/somepage.aspx/'+alert(1234)+'

表单操作更改为

action="'+alert(1234)+'"

为了排除我们的应用程序代码,我使用默认的新 Visual Studio webform 项目进行了尝试,它也允许这样做。

如何防止这种情况?

我一直被告知,未经验证的输入反映到页面中是个坏消息。

4

2 回答 2

1

只需在动作中添加一些内容,如下所示:

<form id="id_form" runat="server" action="Default.aspx">

当未指定操作表单时,asp 会填充您在 URL 中最后一个斜杠旁边写入的属性。如果你在那里写东西,asp不会重写它。

于 2014-11-21T21:03:04.073 回答
0

请检查您global.asax - Application_Start是否已定义任何路线。

于 2013-07-05T08:23:27.227 回答