У нас есть устаревшее веб-приложение Asp.Net Web form, и оно подпадает под уязвимость Cross-Site Scripting, обнаруженную в параметре Url для серверного кода, код сервера, который генерирует форму, чтобы показать, как 1234 пробивается из Строка запроса для формирования действия.
Ниже приведены шаги:
Например, допустим, URL-адрес веб-приложения: https://example.com/default.aspx.
Теперь введите пользователя в браузере https://example.com/default.aspx/1234 и нажмите клавишу ввода, что относится к уязвимости межсайтового скриптинга, обнаруженной в параметре Url.
При проверке тегов HTML URL-адрес действия формы изменяется на ./1234, как показано ниже:
<form id="aspnetForm" name="aspnetForm"
method="post" action="./1234"
onsubmit="javascript:return WebForm_OnSubmit();">
Я пытался проверить значение Request.QueryString, но не смог получить значение 1234.
Посоветуйте, пожалуйста, что будет исправлено и куда обращаться. Спасибо заранее.