以下代码容易发生跨站点脚本攻击,Veracode 扫描已报告:
public void doPost(HttpServletRequest request,HttpServletResponse response)
{
byte[] inputBytes = request.getParameter("input").getBytes();
String name = request.getParameter("filename") == null?"excelReport":request.getParameter("filename").toString();
response.setContentType("application/vnd.ms-excel");
response.setContentLength(inputBytes.length);
response.addHeader("content-disposition", "attachment; filename="+name+".xls");
try {
response.getOutputStream().write(inputBytes, 0, inputBytes.length);
} catch (IOException e) {
e.printStackTrace();
}
}
我理解这行代码-<code>response.getOutputStream()。写入(inputBytes,0,inputBytes.length)容易受到XSS攻击。
如何在这里修复XSS(跨站点脚本)缺陷?是否有任何 ESAPI 库可用于 byte[] 数组来修复 XSS 缺陷?
要采用良好的纵深防御方法来防范XSS,需要做两件事。
您的代码有几个安全问题,不仅仅是XSS。但是结束您的主要问题,OWASP的ESAPI有一个编码器,还有ESAPI编码器项目。正确的方法是在将编码器交给解释器时使用尽可能接近的编码器。由于您使用的是JSP,您将希望对显示给用户的任何输出进行编码,以确保他们的安全。
您的其他问题:
public void doPost(HttpServletRequest request,HttpServletResponse response)
{
//Did we get the correct file?
byte[] inputBytes = request.getParameter("input").getBytes();
//Validation against legal characters in the filename?
String name = request.getParameter("filename") == null?"excelReport":request.getParameter("filename").toString();
response.setContentType("application/vnd.ms-excel");
response.setContentLength(inputBytes.length);
//This is the line that's immediately triggering your problem. The attacker controls that filename and you've done nothing to check it!
//If you encoded here you MIGHT be fine!
response.addHeader("content-disposition", "attachment; filename="+name+".xls");
try {
response.getOutputStream().write(inputBytes, 0, inputBytes.length);
} catch (IOException e) {
e.printStackTrace();
}
}
如果要了解此漏洞,请使用 OWASP 的 ZAP 等工具,并将文件名参数修改为类似
至于文件本身,ESAPI只提供了检查文件扩展名白名单的方法,这不是很好,但实际上很难正确进行文件验证。因此,没有方法验证文件字节。
