OWASP ZAP сообщил «оповещение (1);» Уязвимость XSS, но мы не могли получить всплывающее окно в браузере. Это просто ложное срабатывание?
HTML-код, окружающий внедренную атаку:
<script type="text/javascript">
DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = ;alert(1);;
</script>
Intelex.DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = ;
--- это недействительный код JS. - person zerkms   schedule 24.03.20150;alert(1);
(обратите внимание на добавленный ноль) в качестве параметра сообщения, и он будет работать. Но тот факт, что любой ввод может вызвать синтаксическую ошибку в вашем коде, является достаточно явным признаком того, что он уязвим. - person Jeremy   schedule 24.03.2015