CWE-692

クロスサイト・スクリプティングに対する不完全な拒否リスト

Incomplete Denylist to Cross-Site Scripting

脆弱性レビュー中

日本語説明

この製品はXSS攻撃を防御するためにデニリストベースの保護メカニズムを使用しているが、デニリストが不完全であるため、XSS亜種が成功してしまう。

XSSを防ぐのは簡単なように見えるかもしれませんが、ウェブ・ブラウザがウェブ・ページをどのように解析するかは実に様々であり、デナイリストが全てのバリエーションを追跡することはできません。XSSチートシート」[REF-714]には、不完全なデナイリストを迂回するための攻撃が数多く含まれています。

原文 (English)

The product uses a denylist-based protection mechanism to defend against XSS attacks, but the denylist is incomplete, allowing XSS variants to succeed.

While XSS might seem simple to prevent, web browsers vary so widely in how they parse web pages, that a denylist cannot keep track of all the variations. The "XSS Cheat Sheet" [REF-714] contains a large number of attacks that are intended to bypass incomplete denylists.