クエリ文字列で文字列「xss」を許可するリスク
元従業員の場合、以下を「global.axas」に入れます
if (url.Contains("xss")){
response.StatusCode = 404;
response.end();
}
私は彼がクロスサイトスクリプティングを防ごうとしていたのですが、人々が警告を発する例( 'xssを防ごう');を除いて、彼が防ごうとしたリスクは何ですか?
一部のデータを暗号化し、暗号化された文字列に "... xss .."文字列が含まれているため、アプリケーションが期待どおりに機能しないためです。
それは、実際の目的を満たさない単なる貨物カルトの安全保障です。
XSSの脆弱性を見つけた攻撃者は、簡単にそれを回避できます。実際には、ペイロードにエクスプロイトの名前を含める理由がないため、最初の場所で実行されることはないでしょう。しかし、XSSを含むURLが404になることを発見した場合、アプリケーションを作成した人が何をしているのかを知らなかったという兆候であるため、さらに探索することをお勧めします。
セキュリティは提供されませんが、使いやすさに影響します。 URLに正当にXSSが含まれている可能性のある状況は1000種類あります(たとえば、base64でエンコードしている場合)。