1

原始问题在这里:http://stackoverflow.com/questions/29223275/owasp-zap-reported-alert1-xss-vulnerability-but-no-popup-showed-up

我们的开发人员通过使用 HttpUtility.JavaScriptStringEncode 对 javascript 中的字符串进行编码来解决此问题。在我们使用 OWASP ZAP 对参数进行模糊测试后,我们仍然在结果列表中得到了几个(Reflected)黄色球。单击黄色球中的项目,响应的亮点是,例如:

DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = "alert(1)";

如您所见,被攻击的代码只是一个简单的字符串,不会被执行。我们可以说我们现在是安全的,这只是一个误报吗?

4

1 回答 1

4

ZAP Fuzzer 不会检测漏洞 - 它是一种手动工具,可帮助您发现漏洞。“Reflected”指示就是这样 - 指示提交的有效负载反映在响应中。如果有效载荷是“A”并且响应中有一个“A”,那么你会得到那个指示。您需要查看反射负载的上下文以确定那里是否存在漏洞。

西蒙(ZAP 项目负责人)

于 2015-04-13T10:15:53.430 回答