原始问题在这里:http://stackoverflow.com/questions/29223275/owasp-zap-reported-alert1-xss-vulnerability-but-no-popup-showed-up
我们的开发人员通过使用 HttpUtility.JavaScriptStringEncode 对 javascript 中的字符串进行编码来解决此问题。在我们使用 OWASP ZAP 对参数进行模糊测试后,我们仍然在结果列表中得到了几个(Reflected)黄色球。单击黄色球中的项目,响应的亮点是,例如:
DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = "alert(1)";
如您所见,被攻击的代码只是一个简单的字符串,不会被执行。我们可以说我们现在是安全的,这只是一个误报吗?