Question

XSS на основе DOM (тип 0) не требуют отправки вредоносного кода на сервер, и поэтому они также могут использовать статические HTML-страницы в качестве вектора атаки.Примером фиктивной строки атаки здесь может быть следующий:

http://www.xssed.edu/home.html#<script>alert("XSS")</script>

Мне известно, что ModSecurity предлагает защиту от XSS-атак в PDF-файлах, которые считаются атаками типа 0, однако мой вопрос заключается в том, выполняет ли ModSecurity вообщепредотвратить такой тип XSS, а также, по вашему мнению, каковы последствия такой уязвимости.

Gil Cohen · Answer 1 · 28 апреля 2015

Каждый брандмауэр веб-приложения работает с использованием сигнатур атак.XSS типа 0 генерирует ту же сигнатуру, что и отраженный XSS, так что это, вероятно, будет остановлено любым WAF.Тип 0 XSS не возникает из-за уязвимости кода сайта сервера, но запрос, очевидно, достигает сервера в процессе загрузки страницы.Единственная проблема, которая может помешать WAF остановить этот тип атаки, - это расширение файла, но я считаю, что в вашем примере это, вероятно, будет остановлено.

ModSecurity Защита от атак и воздействия XSS типа 0

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

ModSecurity Защита от атак и воздействия XSS типа 0

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы