В нашем отчете об уязвимостях есть одна уязвимость, о которой я упоминал ниже.
"было обнаружено, что фильтры запроса проверки Microsoft ASP.NET могут позволить удаленному злоумышленнику обойти свои фильтры и провести межсайтовые скриптовые атаки с использованием последовательности, состоящей не из слэша и тильды (<~ /). Эти уязвимости являются описан в CVE-2008-3842 и CVE-2008-3843. "
Мы используем корпоративную версию пакета обновления 1 для Windows Server 2008r2. Наша текущая среда .Net - 4.0.30319, и для создания пула приложений мы используем .Net framework 2.0.50727, потому что это требование разработчика.
Выскажите свое мнение, чтобы решить эту проблему.
Насколько я знаю, Microsoft еще не подтвердила эту проблему, но лучше фильтровать данные самостоятельно. Они просто говорят, что если вы полагаетесь на встроенную встроенную защиту XSS, вы можете быть разочарованы.
Что касается защиты от XSS:
OWASP хорошо покрывает XSS здесь, даже с листом предотвращения, но тонкое правило состоит в том, чтобы просто не доверять вводу пользователя в какой-либо реальной степени и реализовать проверки и фильтрацию, чтобы убедиться, что все, что они вводят, является тем, что они должны ввести (например,% s и
tl; dr лучшие практики в вашем коде означают, что эта уязвимость оказывает минимальное влияние на вас. Плохая практика означает, что у вас в руках может быть вектор XSS. Кто бы ни управлял сайтом, нужно просто знать, как избежать XSS-векторов.