Cross-Site Scripting: Persistent XSS 漏洞修复笔记

最近,项目工程进行 代码安全扫描 的过程中产生了一个 XSS 相关的bug,在此记录解决办法,和大家分享。

一.问题描述

漏洞扫描过程中报下面缺陷信息,大致意思是说 由于页面在接收参数的过程中,没有进行参数的校验,可能存在 参数中存在可执行代码的漏洞。

Cross-Site Scripting: Persistent Critical
Package: /WEB-INF/views/xx
xx-web/webapp/WEB-INF/views/xxxt.jsp, line 36 (Cross-Site
Scripting: Persistent) Critical
57 @Override
Sink Details
Sink: javax.servlet.jsp.JspWriter.print()
Enclosing Method: _jspService()
File: xx-web/webapp/WEB-INF/views/xx.jsp:36
Taint Flags: DATABASE, XSS

33  
34 35 36 37 38 39

二.产生原因

这里引用参考的一篇文章:如何防止XSS攻击?

三.解决办法

解决该问题的办法,就是要将页面上接收的后台参数进行转义处理,避免我们的参数中出现 “特殊字符”。这里经过资料搜集及实践,我们采用开源框架 OWASP Java Encoder Project,这个开源框架主要就是进行 HTML 页面或 web 项目中 特殊字符的 转义处理。
OWASP Java Encoder Project
主页地址:https://www.owasp.org/index.php/OWASP_Java_Encoder_Project
githib地址:https://github.com/OWASP/owasp-java-encoder

1.先要在web工程中引入 pom 依赖


    org.owasp.encoder
    encoder
    1.2.2



    org.owasp.encoder
    encoder-jsp
    1.2.2

2.在 jsp 页面中,调用相应的转义方法

例如,文章开头中出现 bug 提示的内容:
Cross-Site Scripting: Persistent XSS 漏洞修复笔记_第1张图片

我们引入以下标签库 ,并使用方法e.forHtml(),将 EL 表达式中的参数进行过滤


<%@taglib prefix="e" uri="https://www.owasp.org/index.php/OWASP_Java_Encoder_Project" %>
...






再次扫描时,该 bug 未重现。
有关该问题的更多使用,大家可以参考文中的项目地址,有问题我们可以留言交流。

你可能感兴趣的:(问题故障,java,web)