Rimedio per attacco XSS in tecnologie precedenti

0

La mia applicazione è vulnerabile all'attacco XSS. La tecnologia utilizzata nell'applicazione è Servlet 2.2, JSP 1.1, Jdk 1.3, WAS 4.0. Volevo correggere la vulnerabilità XSS con la migrazione della tecnologia o rimediare con la tecnologia attuale. A partire da ora ho pensato di migrare il servlet da 2.2 a 2.3 per usare l'interfaccia del filtro. Si prega di avvisare quali modifiche devo apportare nell'applicazione corrente per migrare il servlet da 2.2 a 2.3. Qualsiasi altro consiglio per la riparazione è benvenuto.

    
posta user1139888 01.08.2014 - 04:45
fonte

1 risposta

3

Fondamentalmente XSS è uno dei seguenti:

  1. Errore di convalida dell'input
  2. Fallimento dell'output dell'output

Se si dispone di punti di ingresso dati ben noti, è possibile pulire tutti gli input. Se è necessario conservare caratteri speciali e formattazione, è necessario anche uscire dall'output. L'escaping dell'output non è banale e dipende dal contesto dell'output (ad esempio in un collegamento, in un'ancora, in un blocco di testo, in un campo modulo). Vale la pena utilizzare una libreria standard per eseguire questa azione.

Questo articolo di OWASP ha più informazioni: link

Un'applicazione Web FW può anche fornire un certo livello di protezione se configurato correttamente in base alla natura dei dati.

    
risposta data 01.08.2014 - 10:07
fonte

Leggi altre domande sui tag