Для ci_csrf_token установлено значение «onmouseover=prompt(XSS) bad=»

я использовал скрытое поле ci_csrf_token в своих формах. Но любая форма в моем сценарии получает предупреждение с помощью сканера веб-уязвимостей Acunetix.

подробности оповещения:

Ввод файла cookie ci_csrf_token был установлен на «onmouseover=prompt(965267) bad=" Ввод отражается внутри элемента тега между двойными кавычками.

в источнике просмотра:

‹input type="hidden" name="ci_csrf_token" value="\\" onmouseover=prompt(965267) bad=\"" />

может ли кто-нибудь помочь мне решить эту проблему?


csrf xss codeigniter penetration-testing codeigniter-2
person Hamed Yarandi    schedule 10.03.2012    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Вам нужно закодировать токен в html-атрибуте, прежде чем поместить его в скрытое поле. Вы добавляете его в форму на стороне клиента или на стороне сервера? Если вы делаете это на стороне сервера, вы можете выполнить проверку ввода, чтобы убедиться, что токен имеет ожидаемый формат.

person Erlend    schedule 11.03.2012
comment
Codeigniter добавляет токен автоматически. - person Wesley Murch; 11.03.2012
comment
я проверил проверку формы: $this-›form_validation-›set_rules('ci_csrf_token','required|trim|xss_clean|escape'); но это не работает и не решается... - person Hamed Yarandi; 11.03.2012
comment
мы должны найти решение для предотвращения изменения этого токена. - person Hamed Yarandi; 11.03.2012