问题描述
我的任务是修复一个XSS漏洞,该漏洞利用 ASP.Net 1.1 中的无cookie会话功能。可以这样进行攻击:
https://example.com/AnyPageInTheApplication.aspx/(A('onerror='alert%601%60'testabcd))/
到目前为止,我已经在web.config文件中尝试了以下值:
<pages validateRequest="true" ....
<sessionState cookieless="false" ....
<sessionState cookieless="UseCookies" ...
更新:如果我在Chrome开发工具的“网络”标签中查看,该应用程序会将URL的最后一部分视为资源,因为该URL在呼叫中被列为文档,状态为200。
任何阻止使用此技术执行JS代码的帮助将不胜感激。
谢谢。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)