自動urlencodeバープスキャナーリクエスト
私のXSS誤検知のほとんどすべては、Burpが未加工のバイト配列ペイロードをサーバーに送信し、同じ応答をDOMまたはその他に挿入することで発生します。しかし、実際のブラウザでは自動的にリクエストをURLエンコード(RFC標準)し、これはBurpがまだ処理できないものです。または、少なくとも私はそれを見つけることができませんでした。
これのために何かありますか?私はスキャナーについてはっきりと話している。
私はIScannerInsertionPointProviderを正しく実装する拡張機能を作成しましたが、私の知る限り、XSSペイロードにのみ適用する方法はありません。他にも、URLエンコードされていないバージョンを使用したいベクターがあります。
これらは本物の調査結果のようです。
Internet Explorerは、URLの小なり記号をエンコードしないことに注意してください。 IEを使用して調査結果を再現してみてください。それができない場合は、何か他のことが起こっていることを示しています。
さらにサポートが必要な場合は、support @ portswigger.netにメールを送信し、誤検知のスクリーンショットを含めてください。