Vexのクロスサイトスクリプティングの検査では
アラートの表示有無に関わらず、送信した検査パターンに含まれる
HTML特殊文字(&、<、>、"、')や
JavaScript特殊文字(\、"、'、/、<、>、0x0D(CR)、0x0A(LF))が
レスポンスで適切にエスケープされているかで確認しております。
その為、検出と判定された結果のうち、挿入した検査パターンの出力箇所によっては
検査結果画面の画面キャプチャやHTML表示にて、アラートが表示されない場合もございます。
過剰検出の判断については、アラートの表示の有無ではなく、
検査結果のレスポンス内で特殊文字が適切にエスケープされているかをご確認下さい。
なお、対策の詳細につきましては、シグネチャ情報や
Vexで出力できるWordレポートの巻末をご参照ください。
[参考FAQ]検査結果について
コメント
0件のコメント
ログインしてコメントを残してください。