CWE-692

Nome

Incomplete Denylist to Cross-Site Scripting

Status

Draft

Publicado

2008-04-11
00h00 +00:00

Modificado

2025-12-11
00h00 +00:00

Links oficiais

CWE Mitre.org

Notificações para um CWE

Fique informado sobre quaisquer alterações para um CWE específico.

Gerenciar notificações

Alertas personalizados

Ative seus alertas personalizados!

Para ativar seus alertas, basta estar conectado à sua conta gratuita. Se ainda não estiver conectado, escolha uma das opções abaixo.

Entrar na sua conta Criar uma conta Gratuita

Notificações para um CWE

Fique informado sobre quaisquer alterações para um CWE específico.

Parâmetros

Você pode especificar um título que será recuperado nos alertas que serão enviados.

Especifique o ID do CWE que deseja monitorar.

Agendamento

Mês

Cálculo da próxima execução

Dia

Dia da semana

Hora

Minuto

Data de criação

Última execução

Próxima execução

Nome: Incomplete Denylist to Cross-Site Scripting

The product uses a denylist-based protection mechanism to defend against XSS attacks, but the denylist is incomplete, allowing XSS variants to succeed.

Descrição CWE

While XSS might seem simple to prevent, web browsers vary so widely in how they parse web pages, that a denylist cannot keep track of all the variations. The "XSS Cheat Sheet" [REF-714] contains a large number of attacks that are intended to bypass incomplete denylists.

Informações Gerais

Modos de Introdução

Implementation

Plataformas Aplicáveis

Linguagem

Class: Not Language-Specific (Undetermined)

Tecnologias

Class: Web Based (Often)
Name: Web Server (Often)

Consequências Comuns

Escopo	Impacto	Probabilidade
Confidentiality Integrity Availability	Execute Unauthorized Code or Commands

Exemplos Observados

Referências	Descrição
CVE-2007-5727	Denylist only removes

CWE-692 Detalhe