web-dev-qa-db-ja.com

自動urlencodeバープスキャナーリクエスト

私のXSS誤検知のほとんどすべては、Burpが未加工のバイト配列ペイロードをサーバーに送信し、同じ応答をDOMまたはその他に挿入することで発生します。しかし、実際のブラウザでは自動的にリクエストをURLエンコード(RFC標準)し、これはBurpがまだ処理できないものです。または、少なくとも私はそれを見つけることができませんでした。

これのために何かありますか?私はスキャナーについてはっきりと話している。

私はIScannerInsertionPointProviderを正しく実装する拡張機能を作成しましたが、私の知る限り、XSSペイロードにのみ適用する方法はありません。他にも、URLエンコードされていないバージョンを使用したいベクターがあります。

2
Rápli András

これらは本物の調査結果のようです。

Internet Explorerは、URLの小なり記号をエンコードしないことに注意してください。 IEを使用して調査結果を再現してみてください。それができない場合は、何か他のことが起こっていることを示しています。

さらにサポートが必要な場合は、support @ portswigger.netにメールを送信し、誤検知のスクリーンショットを含めてください。

2
PortSwigger