CWE-692

Nazwa

Incomplete Denylist to Cross-Site Scripting

Status

Draft

Opublikowano

2008-04-11
00h00 +00:00

Zmodyfikowano

2025-12-11
00h00 +00:00

Oficjalne linki

CWE Mitre.org

Powiadomienia dla konkretnego CWE

Bądź na bieżąco z wszelkimi zmianami dotyczącymi konkretnego CWE.

Zarządzaj powiadomieniami

Niestandardowe alerty

Aktywuj swoje spersonalizowane alerty!

Aby aktywować alerty, wystarczy zalogować się na swoje bezpłatne konto. Jeśli jeszcze nie jesteś zalogowany, wybierz jedną z poniższych opcji.

Zaloguj się do swojego konta Utwórz bezpłatne konto

Powiadomienia dla konkretnego CWE

Bądź na bieżąco z wszelkimi zmianami dotyczącymi konkretnego CWE.

Parametry

Możesz podać tytuł, który będzie widoczny w wysyłanych alertach.

Podaj identyfikator CWE, który chcesz monitorować.

Planowanie

Miesiąc

Obliczanie następnego uruchomienia

Dzień

Dzień tygodnia

Godzina

Minuta

Data utworzenia

Ostatnie wykonanie

Następne wykonanie

Nazwa: Incomplete Denylist to Cross-Site Scripting

The product uses a denylist-based protection mechanism to defend against XSS attacks, but the denylist is incomplete, allowing XSS variants to succeed.

Opis CWE

While XSS might seem simple to prevent, web browsers vary so widely in how they parse web pages, that a denylist cannot keep track of all the variations. The "XSS Cheat Sheet" [REF-714] contains a large number of attacks that are intended to bypass incomplete denylists.

Informacje ogólne

Sposoby wprowadzenia

Implementation

Odpowiednie platformy

Język

Class: Not Language-Specific (Undetermined)

Technologie

Class: Web Based (Often)
Name: Web Server (Often)

Typowe konsekwencje

Zakres	Wpływ	Prawdopodobieństwo
Confidentiality Integrity Availability	Execute Unauthorized Code or Commands

Zaobserwowane przykłady

Odniesienia	Opis
CVE-2007-5727	Denylist only removes

Szczegóły CWE-692