Rimedio per attacco XSS in tecnologie precedenti

Naviga le tue risposte
0

La mia applicazione è vulnerabile all'attacco XSS. La tecnologia utilizzata nell'applicazione è Servlet 2.2, JSP 1.1, Jdk 1.3, WAS 4.0. Volevo correggere la vulnerabilità XSS con la migrazione della tecnologia o rimediare con la tecnologia attuale. A partire da ora ho pensato di migrare il servlet da 2.2 a 2.3 per usare l'interfaccia del filtro. Si prega di avvisare quali modifiche devo apportare nell'applicazione corrente per migrare il servlet da 2.2 a 2.3. Qualsiasi altro consiglio per la riparazione è benvenuto.

    
posta user1139888 01.08.2014 - 04:45
fonte

1 risposta

3

Fondamentalmente XSS è uno dei seguenti:

  1. Errore di convalida dell'input
  2. Fallimento dell'output dell'output

Se si dispone di punti di ingresso dati ben noti, è possibile pulire tutti gli input. Se è necessario conservare caratteri speciali e formattazione, è necessario anche uscire dall'output. L'escaping dell'output non è banale e dipende dal contesto dell'output (ad esempio in un collegamento, in un'ancora, in un blocco di testo, in un campo modulo). Vale la pena utilizzare una libreria standard per eseguire questa azione.

Questo articolo di OWASP ha più informazioni: link

Un'applicazione Web FW può anche fornire un certo livello di protezione se configurato correttamente in base alla natura dei dati.

    
risposta data 01.08.2014 - 10:07
fonte

Leggi altre domande sui tag

Come può un keylogger raccogliere e trasmettere dati da una webapp client-only eseguita da file? A quali strumenti fa affidamento il servizio di navigazione sicura di Google?