Je hebt een klacht over de onderstaande posting:
XSS is via request real time output modificeren. Dus niet de manipulatie vast opslaan op de schijf. Bijvoorbeeld via een GET of POST verzoek te manipuleren tags/instructies toevoegen aan daaropvolgende html output. Dus moet je kijken via logs WELKE GET of POST mogelijkheid van je asp applicatie misbruikt wordt. Dan kun je de asp/vb code aanpassen. Meestal zijn goede methodes met referrers werken, dat aan user agent verbinden naast alleen op ip controleren. En ALTIJD, ALTIJD input een maxlength check meegeven alvorens wat dan ook te interpreteren of over te schrijven in de stack bv variabeles. En ALTIJD, ALTIJD, definieren welke karakters wel zijn toegestaan voor interpretatie via je POST of GEt verzoek, AL HET ANDERE gewoon overboord kieperen. Laat zo min mogelijk binary toe. Dus bijvoorbeeld stel je html output werd via url modificatie via een GET optie gemanipuleerd; http://host/ap.asp?getvar=sekziform&id=2 dan zou ik eerst de maxlength van alles voorbij ? of zelfs de webroot definieren, dus als ...
Beschrijf je klacht (Optioneel):