Как узнать, уязвим ли мой запрос AJAX для XSS?

Question

Служба безопасности неожиданно проверила веб-приложение, над которым я работаю, и сказала, что существуют уязвимости XSS.Я не знаю, с чего начать.

Это AJAX:

new Form.Observer('filter', 0.5, function(element, value) 
{
    startLoad('proposals');; 
    new Ajax.Updater('proposals', 'http://acme.example.dev/stuff/filter', 
        {
            asynchronous:true, evalScripts:true, onComplete:function(request)
                {
                }, parameters:value + '&authenticity_token=' + encodeURIComponent('base64StringHere')
        })
});

Answer 1

Трудно сказать наверняка, как отследить уязвимость, поскольку неясно, какой пользователь отображает вашу страницу.Поскольку вы используете RoR, лучше всего начать с раздела XSS руководства по безопасности RoR .

. Вы также можете попробовать запустить сканер, например skipfish ,Он попытается автоматически обнаружить XSS и другие уязвимости в системе безопасности, и, если найдет их, он предоставит вам некоторые сведения и документацию для решения проблемы.