proteção contra xss

[jokita18 0]

olá,

fiz uma análise de segurança do meu site com o Acunetix Web Vulnerability Scanner 10.0 e está dando 450 venerabilidades de xss nele.

o problema é que está dando como vulnerável ficheiros que não tenho exemplo:

/meusite.com/404/_cdn/_cdn/_cdn/_cdn/_cdn/_cdn/_cdn/index

o que eu tenho de mais parecido é meusite.com/404

ou

meusite.com/_cdn

alguém sabe como ajudar?

obrigado desde já

 

[ESerra 744]

Duas possibilidades, a primeira que exista uma regra de url amigável que esteja permitindo acessar o caminho especificado, a segunda, uma falha do próprio sistema que verifica as vulnerabilidades.

[jokita18 0]

Duas possibilidades, a primeira que exista uma regra de url amigável que esteja permitindo acessar o caminho especificado, a segunda, uma falha do próprio sistema que verifica as vulnerabilidades.

existe de facto uma regra de url amigável:

 $Url[1] = (empty($Url[1]) ? null : $Url[1]);

        if (file_exists(REQUIRE_PATH . '/' . $Url[0] . '.php')):
            require REQUIRE_PATH . '/' . $Url[0] . '.php';
        elseif (file_exists(REQUIRE_PATH . '/' . $Url[0] . '/' . $Url[1] . '.php')):
            require REQUIRE_PATH . '/' . $Url[0] . '/' . $Url[1] . '.php';
        else:
            require REQUIRE_PATH . '/404.php';
         
        endif;

alguma ideia como tornar o site mais seguro?

[ESerra 744]

XSS está ligado do client side, você tem que achar o arquivo que está sendo acionado e filtrar o que está sendo exibido ao usuário.

[jokita18 0]

sim eu sei mas como eu acho o arquivo se o programa me está dando o retorno que indique acima vevido há url amigável ?

desde já agradecido