我在我的经典 asp 应用程序上执行了 OWASP-ZAP 安全测试。它回来了Format String Vulnerability
。
报告称它被ZAP%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s
用作对某些表单输入字段参数(例如username
)的攻击。
报告建议
使用正确删除坏字符串重写后台程序。
在我的情况下,这实际上意味着什么?
在这种情况下,在使用 request() 时是否足以替换特殊字符 - 例如 replace %
in request(username)
?还是我必须删除客户端的坏字符?