تصور می کنم که پاسخ به این کاملا پایه است.
آیا می توان یک اسکریپت متقابل سایت را پیوست کرد با وارد کردن اسکریپت من به یک فیلد که نیاز به یک مقدار خاص دارد؟
من اسکن یک نرم افزار برای آسیب پذیری ها و ابزار اسکن من (OWASP ZAP) چندین آسیب پذیری اسکریپت متقابل سایت را باز می کند. نتایج برگشت شامل مسیر برای درخواست REST، روش متصل (GET یا POST) و پارامتر مورد استفاده برای افزودن اسکریپت است.
مسئله این است که برای هر آسیب پذیری، پارامتر مورد استفاده یک شناسه برای یک مقدار منحصر به فرد است. برای مثال، درخواست getUserPrivileges GET آسیب پذیری را با استفاده از پارامتر "userId" نشان می دهد. اگر من سعی کردم این درخواست را در SoapUI انجام دهم، با استفاده از یک UserID معتبر، من پاسخ "بد درخواست" را دریافت کردم. همچنین در رابط کاربر هیچ جایگاهی وجود ندارد که به من اجازه می دهد مقدار مناسبی برای این پارامتر وارد شود.
فرض من این است که مسائلی مانند این همه مثبت کاذب هستند، اما نمی دانم در مورد این موضوع، من می خواستم بررسی کنم فرض من
اگر در این فرض صحیح باشد، آیا دلایلی وجود دارد که چرا چنین مثبت کاذب برآورده شود؟ آیا وجود دارد چیزی که باعث می شود ابزار اسکن من این را برای یک مسئله اشتباه کنم؟
متشکرم از زمان شما.
