如何解决ASP.Net 1.1通过配置不起作用防止无Cookie会话XSS攻击
我的任务是修复一个XSS漏洞,该漏洞利用 ASP.Net 1.1 中的无cookie会话功能。可以这样进行攻击:
https://example.com/AnyPageInTheApplication.aspx/(A('onerror='alert%601%60'testabcd))/
到目前为止,我已经在web.config文件中尝试了以下值:
<pages validateRequest="true" ....
<sessionState cookieless="false" ....
<sessionState cookieless="UseCookies" ...
更新:如果我在Chrome开发工具的“网络”标签中查看,该应用程序会将URL的最后一部分视为资源,因为该URL在呼叫中被列为文档,状态为200。
任何阻止使用此技术执行JS代码的帮助将不胜感激。
谢谢。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。