如何解决未检测到 OWASP ESAPI XSS 攻击
在一个 web 项目中,我们使用 ESAPI 验证器来检测使用 antisamy XML 文件的 XSS 攻击。虽然大多数攻击都按预期检测到,但它未能将以下给定的输入检测为 XSS 攻击。
令人惊讶的是,ESAPI 将以下给定的输入检测为 XSS 攻击:
后端是用 Java 编写的,UI 是用 JavaScript 编写的。 使用的反同文件:
https://github.com/OWASP/EJSF/blob/master/esapi_master_FULL/antisamy-esapi.xml
我也尝试过使用 myspace antisamy 文件,但问题仍然存在。
有人可以帮助我了解行为差异的原因或如何缓解问题吗?
谢谢。
解决方法
这也有助于我们了解您正在测试的 ESAPI 版本,因为不同版本使用不同版本的 AntiSamy。 (事实上,很快就会有一个新的 1.6.0 版本出来,之后我们预计会发布一个新的 ESAPI 点版本。) 但是了解 ESAPI 版本(或更具体地说,AntiSamy 版本)将使我们能够确保这不是 AntiSamy 中的错误。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
