Vbscript 网页中与脚本相关的HTML标记的不正确中和(基本XSS)(CWE ID 80)
我的项目客户希望所有应用程序都与Veracode兼容……在为Veracode Staic Scan提供应用程序后,发现有326个缺陷需要作为跨站点脚本错误的一部分进行修复 给出扫描的应用程序基本上是使用ASP Classic(VBScript)构建的。 报告的一些行包括:Vbscript 网页中与脚本相关的HTML标记的不正确中和(基本XSS)(CWE ID 80),vbscript,asp-classic,veracode,Vbscript,Asp Classic,Veracode,我的项目客户希望所有应用程序都与Veracode兼容……在为Veracode Staic Scan提供应用程序后,发现有326个缺陷需要作为跨站点脚本错误的一部分进行修复 给出扫描的应用程序基本上是使用ASP Classic(VBScript)构建的。 报告的一些行包括: <td <%=feltfarve%> nowrap><%=tabeltekst_start%><a href="#" onclick="checkbrowser('<%=rsDB
<td <%=feltfarve%> nowrap><%=tabeltekst_start%><a href="#" onclick="checkbrowser('<%=rsDBox("filid")%>','');" onmouseover=" window.status=' <%= f(18) & " " & rsDBox("filnavn")%>'; return true" onmouseout="window.status=''; return true");"><%=rsDBox("filnavn")%></a><%=tabeltekst_slut%></td>
<a onmouseover="EnterContent('ToolTip','<%=f(33)%>','<% if sagerRS("dkrerefnr") <> "" then Response.Write (replace(f(34),"%1", sagerRS("dkrerefnr"))) else Response.Write(replace(f(34),"%1", f(35))) end if%>'); Activate();" onmouseout="deActivate()" href="javascript:void(0)"><img src="/secure/images/rolloverknap/gray_e.gif" border="0" WIDTH="12" HEIGHT="12"></a>
Response.Write " <a onmouseover=""EnterContent('ToolTip','"& f(36) &"','" & kretxt & "'); Activate();"" onmouseout=""deActivate()"" href=""javascript:void(0)""><img src=""/secure/images/rolloverknap/gray_i.gif"" border=""0"" WIDTH=""12"" HEIGHT=""12""></a> "
响应。写入“”
什么类型的修复可以用来解决这些跨脚本缺陷???我认为我们应该使用Server.HTMLEncode来修复XSS(跨站点脚本)威胁。查看您的代码,有几个变量可能会产生问题。我不确定Veracode是如何检查问题的,但如果这些变量中的任何一个来自用户提供的值,它们就会带来风险 首先是基础知识,如果在任何变量中允许
和
就是这样做的,那么您必须100%确保在插入时正确检查它们
由于
DB
最佳做法是按照提供的插入数据(未编码),因此在将这些值放入HTML
之前,您应该始终检查这些值,经典ASP使用的是VBScript,而不是VB.net。也许你的意思是它使用ASP.net(它使用VB.net或C#),我错了。应用程序是使用ASP Classic VBSCript构建的。对此有任何答复吗?你应该考虑设置正确的头以防止XSS攻击。这只修复了最愚蠢的XSS问题,比如alert(“”)
。