0
任何人都可以解釋,爲什麼出現的VeraCode使用name作爲公共財產是一個壞主意思考並提出緩解的好評論?的VeraCode - 這調用域名()包含一個跨站點腳本(XSS)漏洞
代碼(JavaScript的):
var BatchTask = (function() {
function BatchTask(batchOrTask, isBatch) {
if (isBatch) {
...
}
else {
var task = batchOrTask;
this.name = task.name; // flaw identified on this line
}
}
return BatchTask;
}());
的缺陷:CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)
攻擊媒介:命名
說明:此調用域名()包含交站點腳本(XSS)缺陷。應用填充與不可信 輸入HTTP響應,允許攻擊者嵌入惡意內容,如 Javascript代碼,這將在受害者的 瀏覽器的上下文中執行。 XSS漏洞通常被利用來竊取或 操縱餅乾,修改的內容呈現,並影響 機密信息,對 定期被發現的新的攻擊向量。
你逃離輸入數據(task.name)? –
在與Veracode人商量後,他們證實這是一個假陰性,並且是他們將要研究的引擎中的一個錯誤。 – Tsar
請爲此創建答案,接受自己的答案,謝謝。 –