<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">
<div>This seems to be true. If you believe this to be a major oversight, we invite you to submit such a protection if you deem it to be necessary. Please note that if submitting it should be submitted to the 3.0 branch. Additionally, note the use of @detectXSS
 would not work here as libinjection is not designed to detectXSS in headers.</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Michele Roviello <<a href="mailto:micheleroviello@gmail.com">micheleroviello@gmail.com</a>><br>
<span style="font-weight:bold">Date: </span>Wednesday, July 15, 2015 at 7:46 AM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:owasp-modsecurity-core-rule-set@lists.owasp.org">owasp-modsecurity-core-rule-set@lists.owasp.org</a>" <<a href="mailto:owasp-modsecurity-core-rule-set@lists.owasp.org">owasp-modsecurity-core-rule-set@lists.owasp.org</a>><br>
<span style="font-weight:bold">Subject: </span>[Owasp-modsecurity-core-rule-set] Check for User-agent field missing in CRS<br>
</div>
<div><br>
</div>
<div>
<div>
<div dir="ltr"><span style="font-size:12.8000001907349px">Hello,</span>
<div style="font-size:12.8000001907349px">I have done some tests on XSS attacks with ModSecurity and the base rules for XSS attack from the CRS. </div>
<div style="font-size:12.8000001907349px">I have found that this set of rules doesn't check for an XSS attack vector in the User-agent field of the HTTP message.</div>
<div style="font-size:12.8000001907349px">Is this true or am I missing something?</div>
<div style="font-size:12.8000001907349px">Thank you for your consideration,</div>
<div style="font-size:12.8000001907349px">Michele Roviello</div>
</div>
</div>
</div>
</span><br>
<hr>
<font face="Arial" color="Gray" size="1"><br>
This transmission may contain information that is privileged, confidential, and/or exempt from disclosure under applicable law. If you are not the intended recipient, you are hereby notified that any disclosure, copying, distribution, or use of the information
 contained herein (including any reliance thereon) is strictly prohibited. If you received this transmission in error, please immediately contact the sender and destroy the material in its entirety, whether in electronic or hard copy format.<br>
</font>
</body>
</html>