运维开发网

安全性 – 由ASP.NET 4获得的XSS漏洞的示例<%:%>或Razor编码,但被AntiXSS捕获

运维开发网 https://www.qedev.com 2020-05-09 18:01 出处:网络 作者:运维开发网整理
我正在寻找一个XSS漏洞的例子,只有通过使用AntiXSS Encoder 4.1 Beta作为运行时编码器(在system.web / httpRuntime中设置)才会被阻止.我更喜欢不需要任何明确调用AntiXss函数的东西,例如 @AntiXss.JavaScriptEncode(ViewBag.UserName) 我在想ASP.NET的黑名单,但不会通过AntiXSS白名单,或许与替代字
我正在寻找一个XSS漏洞的例子,只有通过使用AntiXSS Encoder 4.1 Beta作为运行时编码器(在system.web / httpRuntime中设置)才会被阻止.我更喜欢不需要任何明确调用AntiXss函数的东西,例如

@AntiXss.JavaScriptEncode(ViewBag.UserName)

我在想ASP.NET的黑名单,但不会通过AntiXSS白名单,或许与替代字符集或编码有关的东西?

我测试了UTF-7的漏洞,但是看不出有什么影响现代浏览器.

没有任何.那么这不是完全正确的,他们不会在现代浏览器上运行.

SDL要求它的原因是使用安全列表本质上更安全 – 所以如果突然有人发现有问题的字符,它可能已被编码(取决于您配置的安全列表).

0

精彩评论

暂无评论...
验证码 换一张
取 消