J'ai mon site Web dans lequel je tape http: //someurl/login.aspx/ '== alerte (1) =='
Le site Web ouvre une boîte de dialogue menant à un XSS réfléchi.
Lorsque j'ai essayé d'autres sites Web tels que Google ou Facebook, les deux conduit à une page non trouvée.
Comment créer ce type de fonctionnalité sur mon site Web afin d'éviter toute solution de sécurité future liée à XSS.
3 Réponses :
Veuillez partager le code de gestion des paramètres de la requête ( == alerte (1) == ). Vous prenez probablement la saisie de l'utilisateur sans assainissement et imprimez-la sur le navigateur, dans un contexte JS. Voir ici pour plus de détails.
Je suis simplement en train de taper dans l'URL quelqueurl / login.aspx / '== alerte ( 1) == 'à la place de quelqueurl / login.aspx . Plus tôt, on me donne une boîte d'alerte disant 1. Je veux qu'il affiche une page d'erreur.My Application est dans .NET
S'il vous plaît partagez votre code, il sera difficile de conseiller comment réparer sans elle. En général, comme suggéré ci-dessus - Utilisez la désinfectation (voir cette Guide ) devrait résoudre le problème.
encoder vos paramètres de demande au formulaire codé JavaScript. De nombreuses bibliothèques sont également disponibles sur le marché pour encoder vos paramètres. Assurez-vous également que la méthode JavascriptenCode doit être utilisée sur le raccourci de liaison HTML (<% # :) car le raccourci ne fonctionne que pour les contextes HTML.
Pouvez-vous fournir un exemple.it sera utile que je suis nouveau dans ce champ.Merci
J'ai partagé un exemple de base dans le commentaire ci-dessous.
Voici l'exemple de base pour l'encodage d'URL dans JavaScript
var uri = 'https://mozilla.org/?x=шеллы';
var encoded = encodeURI(uri);
console.log(encoded);
// expected output: "https://mozilla.org/?x=%D1%88%D0%B5%D0%BB%D0%BB%D1%8B"
try {
console.log(decodeURI(encoded));
// expected output: "https://mozilla.org/?x=шеллы""
} catch(e) { // catches a malformed URI
console.error(e);