Ejecuto un escáner de vulnerabilidades en mi sitio web que me mostró un par de vulnerabilidades que se parecen a esto:
http://.../search?text=&ClassIDNames[37]=<script>alert('Found')</script>&ActiveFacet[ClassID]=37
pero al copiar la url en el navegador no me da la salida de alerta sino el resultado de búsqueda para la entrada correspondiente. ¿Es esto algo que tengo que arreglar o no es nada de qué preocuparme? ¿O tengo que hacer algo más para reproducirlo de alguna manera?
Algunos escáneres simplemente buscan la cadena inyectada ("encontrado" en este caso) en algún lugar de la página, si "encontrado" está en los resultados de búsqueda, entonces lo clasificaría como un resultado positivo.
Si la cadena XSS se interpreta como una cadena en la función de búsqueda (literalmente, buscando la cadena <script>alert('Found')</script> , puede marcarla como un falso positivo: el escáner vio su propia cadena inyectada en la página resultante).
Su contenido de origen <a href="/search?text="><script>alert('Found')</script> parece mostrar que su aplicación es vulnerable a XSS. Creo que su navegador solo está mitigando la inyección porque detecta que está en línea con javascript.
Tal vez esté utilizando un marco que está enviando a su navegador algunos encabezados de mitigación. Mire los encabezados HTTP útiles de OWASP y en particular la política de seguridad de contenido y protección X-XSS: enlace .
Como algunos navegadores (los antiguos) no respetarán esos encabezados, le sugiero encarecidamente que desinfecte adecuadamente todas las aportaciones y no confíe en esas soluciones de mitigación.
Tienes una guía realmente buena y completa para prevenir XSS en enlace
Saludos.
Quizás el código XSS terminó dentro de una etiqueta cuyo contenido se interpreta como solo texto, como <title> o <textarea> . Intente anteponer el código XSS con </textarea> o </title> si este es el caso.
También puede haber terminado en un atributo de un elemento, en cuyo caso necesita cerrar el atributo y el elemento utilizando "> o '>
Normalmente, las vulnerabilidades en el sitio web se pueden hacer manualmente y utilizando herramientas del escáner. Primero, determine las vulnerabilidades con las herramientas del escáner y luego verifique Falso positivo , significa verificar los resultados del escaneo. Mientras se verifica manualmente si el problema no se encuentra, es Falso Positivo significa que se eliminará. En el caso de XSS , el navegador puede impedir o filtrar el XSS. Intente desactivar el filtro XSS en el navegador. Si no hay problemas, no hay necesidad de preocuparse por esto. vulnerabilidad.
Vulnerabilites determinado por el escáner no es el correcto de todos modos, tenemos que realizar una verificación cruzada de todos y cada uno de los paramatizadores vulnerables y url que se muestran en el escáner.
El escáner también puede dejar algunas vulnerabilidades en algunos casos para los que tenemos que revisar manualmente a través del sitio web.
Al verificar el resultado del escáner, al copiar la url en el navegador, si no da la alerta, se puede decir como un resultado Falso positivo . Los navegadores como Chrome , Firefox , IE también pueden bloquear el XSS.
Inorder para deshabilitar este filtro en firefox e IE lea este artículo: enlace
Para evitar el uso de la vulnerabilidad de Xss puede ir a través de enlace
¿Lo estás haciendo en Chrome? Chrome tiene un auditor XSS que puede bloquear muchos ataques XSS. Si está en Chrome, puede abrir la ventana Herramientas de desarrollo y se mostrará cuando se bloqueen los ataques XSS.
Es posible que también quieras probar un navegador diferente como IE.
Lea otras preguntas en las etiquetas vulnerability xss