VeraCode-对name()的调用包含跨站点脚本(XSS)漏洞
有人能解释为什么VeraCode认为使用name作为公共属性是一个坏主意,并提出一个很好的缓解意见吗?
代码(JavaScript):
var BatchTask = (function () {
function BatchTask(batchOrTask, isBatch) {
if (isBatch) {
...
}
else {
var task = batchOrTask;
this.name = task.name; // flaw identified on this line
}
}
return BatchTask;
}());
攻击矢量:名称
描述: ,对name()的调用包含跨站点脚本(XSS)漏洞。该应用程序使用不受信任的输入填充HTTP响应,从而允许攻击者嵌入恶意内容(如Javascript代码),这些内容将在受害者浏览器的上下文中执行。XSS漏洞通常被用来窃取或操纵cookie、修改内容的表示方式和泄露机密信息,并定期发现新的攻击载体。
共有1个答案
在与Veracode协商后,他们已经确认这是一个假阴性,是他们将调查的引擎中的一个缺陷。
-
只要应用程序获取不受信任的数据并将其发送到客户端(浏览器)而未经验证,就会发生跨站点脚本(XSS)。这允许攻击者在受害者的浏览器中执行恶意脚本,这可能导致用户会话劫持,破坏网站或将用户重定向到恶意站点。 下面我们借助一个简单图表了解这个漏洞的威胁代理,攻击向量,安全弱点,技术影响和业务影响。 威胁代理 - 内部/外部用户或管理员发送给系统的不受信任的数据。 攻击者的方法 - 发送不受信任的数据/基
-
我们在ASP中有一个遗留的web应用程序。Net和C#,我们得到了大约400多个由Veracode扫描引起的跨站点脚本缺陷。我创建了一个示例web应用程序并模拟了这个问题,发现每当我们直接使用任何字符串输入时,都会产生缺陷。正在执行HttpUtility。HtmlEncode(TextBox1.Text);“满足了veracode的要求,但是在所有400个地方应用这一更改是不可行的,因为届时将需要
-
因此,当我们的web应用程序被扫描以查找Veracode时,我会发现许多跨站点脚本缺陷, “Web页面中与脚本相关的HTML标记的不当中和(Basic XSS)”(CWE ID 80)。 而且,由于我们有几个缺陷,我不知道如何解决这个特殊的情况。下面是我的代码- 我可以看到在和行。 我知道,对于文本,我可以使用类似的东西来清除字符串。 但是,我不明白为什么veracode报告是因为本身不安全吗?
-
问题内容: 我有服务器A(www.example.com)将信息发送到服务器B。我只能在服务器A上使用HTML / JS(并且必须在服务器B上执行“压缩”),所以我尝试通过以下方式发送表单数据AJAX(尝试避免将表单发布到服务器B-无需询问)。 显然,跨域进行AJAX调用被认为是XSS,是一个很大的禁忌,但是如果我将Server B放在一个子域(sub.example.com)中,那可以吗?如何检
-
类别 存储型 XSS 攻击 反射型 XSS 攻击 基于 DOM 的 XSS 攻击