一位前雇员,将以下内容放入我们的“global.axas”中
if (url.Contains("xss")){
response.StatusCode = 404;
response.end();
}
我知道他试图防止跨站点脚本,但除了人们放置警报的示例('prevent xss');,他试图防止的风险是什么?
我问的原因是因为我们加密了一些数据并且加密的字符串包含“...xss..”字符串,这会阻止应用程序按预期工作。
在查询字符串中允许字符串“xss”的风险
信息安全
Web应用程序
xss
iis
2021-08-21 18:43:04
1个回答
那只是货物崇拜安全,没有真正的目的。
任何发现 XSS 漏洞的攻击者都可以轻松绕过它。实际上,他们可能永远不会首先遇到它,因为没有理由在有效负载中包含漏洞利用的名称。但是,如果我发现任何包含 XSS 的 URL 都会导致 404,我会被鼓励进行更多探索,因为这表明编写应用程序的人不知道他们在做什么。
虽然它不提供安全性,但它确实会影响可用性。有一千种不同的情况,您可能在您的 URL 中合法地包含 XSS(例如,如果您对任何内容进行 base64 编码)。