当前位置: 首页 > 知识库问答 >
问题:

VeraCode-对name()的调用包含跨站点脚本(XSS)漏洞

丁豪
2023-03-14

有人能解释为什么VeraCode认为使用name作为公共属性是一个坏主意,并提出一个很好的缓解意见吗?

代码(JavaScript):

var BatchTask = (function () {
    function BatchTask(batchOrTask, isBatch) {    
        if (isBatch) {
            ...
        }
        else {
            var task = batchOrTask;
            this.name = task.name; // flaw identified on this line
        }
    }
    return BatchTask;
}());

攻击矢量:名称

描述: ,对name()的调用包含跨站点脚本(XSS)漏洞。该应用程序使用不受信任的输入填充HTTP响应,从而允许攻击者嵌入恶意内容(如Javascript代码),这些内容将在受害者浏览器的上下文中执行。XSS漏洞通常被用来窃取或操纵cookie、修改内容的表示方式和泄露机密信息,并定期发现新的攻击载体。

共有1个答案

方宁
2023-03-14

在与Veracode协商后,他们已经确认这是一个假阴性,是他们将调查的引擎中的一个缺陷。

 类似资料:
  • 只要应用程序获取不受信任的数据并将其发送到客户端(浏览器)而未经验证,就会发生跨站点脚本(XSS)。这允许攻击者在受害者的浏览器中执行恶意脚本,这可能导致用户会话劫持,破坏网站或将用户重定向到恶意站点。 下面我们借助一个简单图表了解这个漏洞的威胁代理,攻击向量,安全弱点,技术影响和业务影响。 威胁代理 - 内部/外部用户或管理员发送给系统的不受信任的数据。 攻击者的方法 - 发送不受信任的数据/基

  • 我们在ASP中有一个遗留的web应用程序。Net和C#,我们得到了大约400多个由Veracode扫描引起的跨站点脚本缺陷。我创建了一个示例web应用程序并模拟了这个问题,发现每当我们直接使用任何字符串输入时,都会产生缺陷。正在执行HttpUtility。HtmlEncode(TextBox1.Text);“满足了veracode的要求,但是在所有400个地方应用这一更改是不可行的,因为届时将需要

  • 因此,当我们的web应用程序被扫描以查找Veracode时,我会发现许多跨站点脚本缺陷, “Web页面中与脚本相关的HTML标记的不当中和(Basic XSS)”(CWE ID 80)。 而且,由于我们有几个缺陷,我不知道如何解决这个特殊的情况。下面是我的代码- 我可以看到在和行。 我知道,对于文本,我可以使用类似的东西来清除字符串。 但是,我不明白为什么veracode报告是因为本身不安全吗?

  • 问题内容: 我有服务器A(www.example.com)将信息发送到服务器B。我只能在服务器A上使用HTML / JS(并且必须在服务器B上执行“压缩”),所以我尝试通过以下方式发送表单数据AJAX(尝试避免将表单发布到服务器B-无需询问)。 显然,跨域进行AJAX调用被认为是XSS,是一个很大的禁忌,但是如果我将Server B放在一个子域(sub.example.com)中,那可以吗?如何检

  • 类别 存储型 XSS 攻击 反射型 XSS 攻击 基于 DOM 的 XSS 攻击