Vbscript 经典ASP中坏字符串的正确删除
我在我的经典asp应用程序上执行了OWASP-ZAP安全测试。它返回时带有一个Vbscript 经典ASP中坏字符串的正确删除,vbscript,asp-classic,owasp,zap,Vbscript,Asp Classic,Owasp,Zap,我在我的经典asp应用程序上执行了OWASP-ZAP安全测试。它返回时带有一个格式字符串漏洞 报告说它使用了ZAP%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s作为对某些表单输入字段参数的攻击(例如username) 报告建议: 使用正确删除坏字符的方法重写后台程序 字符串 这对我来说意味着什么? 在这种情况下,在使用request()时替换特殊字符是否足够?例如,在请求(用
格式字符串漏洞ZAP%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%s%n%susername在这种情况下,在使用request()时替换特殊字符是否足够?例如,在
请求(用户名)%参考资料:可能是假阳性。我需要更多地查看您的代码以及为其提供的触发ZAP警告的输入 在客户端执行任何与安全相关的操作都是不可信的,因为客户端验证可以用最少的专有技术绕过。您只能在服务器端执行清理,而执行清理的功能/子功能无法扩展。查看它确实听起来像是误报,因为
%