<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Hey Chaim , Hope you are doing great. Yes , The data injected is in the JavaScript content already , have not been very successful trying to match patterns
 here without false positives. <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> chaim.sanders@gmail.com [mailto:chaim.sanders@gmail.com]
<b>On Behalf Of </b>Chaim Sanders<br>
<b>Sent:</b> Wednesday, July 12, 2017 23:10<br>
<b>To:</b> Thayyile kandy, Subin : CSO GIS<br>
<b>Cc:</b> owasp-modsecurity-core-rule-set@lists.owasp.org<br>
<b>Subject:</b> Re: [Owasp-modsecurity-core-rule-set] XSS false negative ?<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">THIS MAIL ORIGINATED FROM OUTSIDE OUR ORGANIZATION <o:p></o:p></p>
<div>
<div>
<p class="MsoNormal">Hey Subin, <o:p></o:p></p>
<div>
<p class="MsoNormal">Long time no speak. It does indeed look as if PL1 of CRS 3.0 doesn't catch that. PL2 catches it with rule 942340, 942370, and 942430. It might be worth looking into trying to add some logic that isn't false positive prone to PL1. In this
 case it'll be tricky as it appears that the XSS triggered here would be in the javascript context already. Any thoughts?<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Wed, Jul 12, 2017 at 9:25 PM, Thayyile kandy, Subin : CSO GIS <<a href="mailto:sthayyilekan@barclaycardus.com" target="_blank">sthayyilekan@barclaycardus.com</a>> wrote:<o:p></o:p></p>
<p class="MsoNormal">Shouldn't CRS3.0 be flagging this XSS ? I did check the XSS rules but couldn't figure out if why it wasn't getting flagged.<br>
<br>
<a href="https://localhost/test.action?testingid=29776%27%7d;alert(1);var%20x=%7b%27myid%27:%2723233" target="_blank">https://localhost/test.action?testingid=29776%27};alert(1);var%20x={%27myid%27:%2723233</a><br>
<br>
Thanks<br>
Subin<br>
Barclaycard<br>
<br>
<a href="http://www.barclaycardus.com" target="_blank">www.barclaycardus.com</a><<a href="http://www.barclaycardus.com" target="_blank">http://www.barclaycardus.com</a>><br>
<br>
This email and any files transmitted with it may contain confidential and/or proprietary information. It is intended solely for the use of the individual or entity who is the intended recipient. Unauthorized use of this information is prohibited. If you have
 received this in error, please contact the sender by replying to this message and delete this material from any system it may be on.<br>
_______________________________________________<br>
Owasp-modsecurity-core-rule-set mailing list<br>
<a href="mailto:Owasp-modsecurity-core-rule-set@lists.owasp.org">Owasp-modsecurity-core-rule-set@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-modsecurity-core-rule-set" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-modsecurity-core-rule-set</a><o:p></o:p></p>
</div>
<p class="MsoNormal"><br>
<br clear="all">
<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal">-- <o:p></o:p></p>
<div>
<p class="MsoNormal">-- <br>
Chaim Sanders<br>
<a href="http://www.ChaimSanders.com" target="_blank">http://www.ChaimSanders.com</a><o:p></o:p></p>
</div>
</div>
</div>
</div>
<p style="font-size: 10pt; font-family:"Tahoma","sans-serif"">Barclaycard</p>
<p style="font-size: 10pt; font-family:"Tahoma","sans-serif""><a href="http://www.barclaycardus.com">www.barclaycardus.com</a></p>
<p style="font-size: 10pt; font-family:"Tahoma","sans-serif"">This email and any files transmitted with it may contain confidential and/or proprietary information. It is intended solely for the use of the individual or entity who is the intended recipient.
 Unauthorized use of this information is prohibited. If you have received this in error, please contact the sender by replying to this message and delete this material from any system it may be on.
</p>
</body>
</html>