我一直在努力解决一些漏洞Acunetix Web Scanner,特别是那些与XSS.
www.mywebsite.com/signed-out/blahblah
由于重写规则,“blahblah”被视为查询字符串的参数,即。
www.mywebsite.com/internal/path/LoggedOut.aspx?reason=blahblah
该工具注意到的是,您可以输入并且javascript:prompt(919416);似乎会自动将表单操作修改为:queryStringASP.NET
<form name="aspnetForm" method="post" action="javascript:prompt(919416);?reason=session-expired%2fjavascript%3aprompt(919416)%3b" id="aspnetForm">
这反映了输入查询字符串。然而:
- 这实际上是可执行的吗?
- 我似乎找不到如何停止 ASP.NET 修改表单操作。
我还是这个领域的新手,请温柔!非常感谢任何帮助和建议。