CWE ID: 692
Name: Incomplete Denylist to Cross-Site Scripting
Das Produkt verwendet einen denylist-basierten Schutzmechanismus zur Abwehr von XSS-Angriffen, jedoch ist die denylist unvollständig, was es XSS-Varianten ermöglicht, erfolgreich zu sein.
Obwohl XSS-Angriffe auf den ersten Blick vermeidbar erscheinen mögen, variieren Webbrowser in der Art und Weise, wie sie Webseiten parsen, so stark, dass eine denylist alle Variationen nicht erfassen kann. Die “XSS Cheat Sheet” [REF-714] enthält eine große Anzahl von Angriffen, die darauf abzielen, unvollständige denylists zu umgehen.
