оригинальный вопрос здесь: http://stackoverflow.com/questions/29223275/owasp-zap-reported-alert1-xss-vulnerability-but-no-popup-showed-upOWASP ZAP Fuzzing-Входной параметр отражается обратно в ответ как строка, еще XSS?
Наш разработчик констатировала с помощью HttpUtility.JavaScriptStringEncode для кодирования строк в javascript. После того, как мы использовали OWASP ZAP для параметризации, мы все равно получили несколько (Reflected) желтых шаров в списке результатов. Нажав на элемент в желтом шаре, подсветка в ответ была, например:
DataSet.FilterBuilder.QueryValuesDictionary ['57_ctl00'] = "alert (1)";
Как вы можете видеть, атакованный код является простой строкой и не выполняется. Можем ли мы сказать, что сейчас мы в безопасности, и это всего лишь ложный позитив?