کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
این سایت از کوکی ها برای ارائه خدمات ما و نمایش آگهی های مرتبط و لیست های شغلی استفاده می کند.
با استفاده از سایت ما، شما تأیید میکنید که ما خط مشی کوکیها، خط مشی رازداری و شرایط خدمات ما را خوانده و درک کردهاید.
استفاده شما از محصولات و خدمات سرریز پشته، از جمله شبکه سرریز پشته، تحت این شرایط و ضوابط است.
تصور می کنم که پاسخ به این کاملا پایه است.
آیا می توان یک اسکریپت متقابل سایت را پیوست کرد با وارد کردن اسکریپت من به یک فیلد که نیاز به یک مقدار خاص دارد؟
من اسکن یک نرم افزار برای آسیب پذیری ها و ابزار اسکن من (OWASP ZAP) چندین آسیب پذیری اسکریپت متقابل سایت را باز می کند. نتایج برگشت شامل مسیر برای درخواست REST، روش متصل (GET یا POST) و پارامتر مورد استفاده برای افزودن اسکریپت است.
مسئله این است که برای هر آسیب پذیری، پارامتر مورد استفاده یک شناسه برای یک مقدار منحصر به فرد است. برای مثال، درخواست getUserPrivileges GET آسیب پذیری را با استفاده از پارامتر "userId" نشان می دهد. اگر من سعی کردم این درخواست را در SoapUI انجام دهم، با استفاده از یک UserID معتبر، من پاسخ "بد درخواست" را دریافت کردم. همچنین در رابط کاربر هیچ جایگاهی وجود ندارد که به من اجازه می دهد مقدار مناسبی برای این پارامتر وارد شود.
فرض من این است که مسائلی مانند این همه مثبت کاذب هستند، اما نمی دانم در مورد این موضوع، من می خواستم بررسی کنم فرض من
اگر در این فرض صحیح باشد، آیا دلایلی وجود دارد که چرا چنین مثبت کاذب برآورده شود؟ آیا وجود دارد چیزی که باعث می شود ابزار اسکن من این را برای یک مسئله اشتباه کنم؟
متشکرم از زمان شما.
