Vexの「クロスサイトスクリプティング」の検査は、
送信した検査パターンに含まれる特殊文字(HTML特殊文字やJavaScript特殊文字など)がレスポンス出力時に適切にエスケープされているかを確認しております。
送信する検査パターンについては、可能な限り汎用的に動作するよう考慮しておりますが、
検査パターンがどのようにレスポンスに挿入されるかは検査対象画面の仕様(HTML構造など)に依存するため、必ずしも検出された検査パターンにてスクリプトが動作するとは限りません。
また、シグネチャによっては古いブラウザ上のみで動作するものもございます。
この場合、Vex画面やレポート上の画面キャプチャにてポップアップ(アラート)が表示されていても、最新のブラウザでは再現しません。
※リダイレクトのレスポンスボディにおける検出や、Content-TypeがJSONなどのHTMLとして解釈されない形式のレスポンスでの検出などが該当します。
上記の理由から、「クロスサイトスクリプティング」の検査結果が過剰検知であるかの確認については、送信した検査パターンに含まれる特殊文字がレスポンス中で適切にエスケープされているかをご確認下さい。
なお、どのような対処を実施すればよいかは検出箇所により異なります。
このため、シグネチャ情報やVexから生成可能なレポートの巻末資料をご参考下さい。
[参考FAQ]検査結果について
コメント
0件のコメント
サインインしてコメントを残してください。