ASP.NET WebForms表单操作XSS漏洞?
我一直在努力解决ASP.NET WebForms表单操作XSS漏洞?,asp.net,xss,Asp.net,Xss,我一直在努力解决Acunetix Web Scanner强调的一些漏洞,特别是那些与XSS相关的漏洞 www.mywebsite.com/signed-out/blahblah 由于重写规则,“blahblah”被用作查询字符串的参数,即 www.mywebsite.com/internal/path/LoggedOut.aspx?reason=blahblah 该工具注意到,您可以输入javascript:prompt(919416)因为查询字符串和ASP.NET似乎会自动将表单操作修改为
Acunetix Web Scanner
强调的一些漏洞,特别是那些与XSS
相关的漏洞
www.mywebsite.com/signed-out/blahblah
由于重写规则,“blahblah”被用作查询字符串的参数,即
www.mywebsite.com/internal/path/LoggedOut.aspx?reason=blahblah
该工具注意到,您可以输入javascript:prompt(919416)
因为查询字符串
和ASP.NET
似乎会自动将表单操作修改为:
<form name="aspnetForm" method="post" action="javascript:prompt(919416);?reason=session-expired%2fjavascript%3aprompt(919416)%3b" id="aspnetForm">
它反映了输入查询字符串。然而:
我还是新来的,请温柔一点!非常感谢您的帮助和建议。我找到了一种缓解此问题的方法,即在PreRender阶段用代码填充表单操作,这意味着ASP.NET不会自动填充表单操作,从而解决了此问题。