Come prevenire la persistente vulnerabilità XSS con il framework Java Struts 1?

Naviga le tue risposte
1

Ho un'applicazione che viene eseguita con Tomcat 7, sviluppata con Struts (Java Web Framework). La mia applicazione contiene una vulnerabilità di sicurezza (XSS Cross-site scripting).

Che tipo di vulnerabilità XSS è?

  • Persistente (o memorizzato)

Come viene introdotto e qual è il contesto?

  • Inserisci il valore nel campo di testo

Quali framework Java stai utilizzando?

  • Struts 1.3

XSS viene eseguito dal codice HTML, che è stato introdotto da una terza parte e viene eseguito dall'applicazione. Nell'esempio seguente viene mostrata la vulnerabilità: 

<html:text name="grupo" property="description" size="50" alt="Description"/>

Dopoinviareilmodulo:

    
posta grf2018 31.05.2018 - 20:23
fonte

1 risposta

1

Non conosco Struts se ha una protezione integrata, ma puoi sfuggire (disinfettare) i tag html, in modo che quando il tag script viene stampato sulla pagina, non verrà eseguito. Dovresti inserire il codice di sanitizzazione nel controller di azioni a cui il modulo si sottomette.

Replace "<" character with &lt; and ">" with &gt;. After that script tags won't be executed.

Il cheat di OWASP XSS ti aiuterà a mitigare le vulnerabilità XSS: link

O come commentato da @dandavis: un CSP potrebbe aiutare a mitigare se non è possibile aggiornare la logica dell'app.

    
risposta data 31.05.2018 - 21:52
fonte

Leggi altre domande sui tag

Vulnerabilità del token Web JSON con HMAC e RSA Trovato come ottenere Oauth2 client_id lungo il segreto corrispondente ma redirect_uri è autorizzato come requisito. È ancora sicuro?