¿La visualización de contenido de javascript en la aplicación califica como XSS?

0

Ejecuté un escaneo de vulnerabilidades en mi aplicación usando Burp suite. Algunos de mis campos de entrada pueden tomar código HTML (por ejemplo, <script>alert("exploited")</script> ) y se mostrará como texto pero nunca se ejecutará como HTML o secuencia de comandos. Para ser específico, se almacena como una cadena y siempre se trata como tal.

Por favor encuentre la captura de pantalla a continuación:

Creo que esto no se puede tratar como una vulnerabilidad XSS, ya que la secuencia de comandos nunca se ejecuta realmente. ¿Es correcto o soy vulnerable aquí?

    
pregunta Pruthvi Raj Nadimpalli 25.01.2018 - 14:00
fuente

1 respuesta

5

Cuando este es el código que el atacante intentó inyectar, este es el comportamiento deseado de una aplicación web segura. La aplicación aparentemente escapó al código javascript correctamente y demostró la capacidad de generar un texto sin ejecutarlo. Tenga en cuenta que <script>alert('you can also "inject" valid JavaScript code into Stackexchange without it getting executed by browsers of any other users')</script> .

Una solución diferente sería filtrar la entrada del usuario para eliminar cualquier carácter "malvado" como < , > , ' o " . Pero esas soluciones son solo las mejores, porque pueden dar lugar a un comportamiento inesperado en forma de overblocking de entrada no malintencionada (¿Qué quiere decir que mi nombre de usuario no puede ser <'_'> ?) O podría no detectar cada carácter "malvado" que un atacante podría inventar.

    
respondido por el Philipp 25.01.2018 - 14:26
fuente

Lea otras preguntas en las etiquetas