我们在登录页面中使用Web控制适配器。最近我们在我们的网络应用程序上运行VeraCode。在下面的函数中,我们在网页上获得了CWE80,网页中基于脚本的HTML标签的不正当中和(基本XSS)
rev.ErrorMessage = msg;
以下是WebControlAdapterExtender类中的函数。
static public void WriteRegularExpressionValidator(HtmlTextWriter writer, RegularExpressionValidator rev, string className, string controlToValidate, string msg, string expression)
{
if (rev != null)
{
rev.CssClass = className;
rev.ControlToValidate = controlToValidate;
rev.ErrorMessage = msg;
rev.ValidationExpression = expression;
rev.RenderControl(writer);
}
}
有没有人有任何建议如何解决这个问题?
答案 0 :(得分:4)
问题在于'msg'被传递给你的函数,但在它被使用之前没有中和 - 字符串按原样使用'因此可能包含造成伤害的脚本。有一个很好的描述解释这个以及为什么它是一个问题:http://www.veracode.com/images/pdf/top5mostprevalent.pdf
我自己并没有使用它,但我认为ErrorMessage会在出错时呈现并显示。因为如果'msg'是一个顽皮的代码片段,您将在最终页面上呈现,这会让您自己和您的用户暴露于安全漏洞。
阅读有关此备忘单的提示:https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
你应该能够使用HtmlEncode来制作这个安全的HttpUtility.HtmlEncode(未编码);
rev.ErrorMessage = System.web.HttpUtility.HtmlEncode(msg);
答案 1 :(得分:0)
VeraCode列出了Supported Cleansing Functions,包括每个函数所处理的CWE ID。
答案 2 :(得分:-1)
函数调用包含HTTP响应拆分缺陷。将未经过授权的用户提供的输入写入HTTP标头允许攻击者操纵浏览器呈现的HTTP响应,从而导致缓存中毒和crosssite脚本攻击。
问题代码
strMessage = CLASSCONSTANTNAME +的className + MESSAGENAME +消息; LOGGER.info(strMessage);
固定代码
strMessage = CLASSCONSTANTNAME +的className + MESSAGENAME +消息; LOGGER.info(ESAPI.encoder()encodeForHTML(strMessage));
浏览更详细信息
答案 3 :(得分:-1)
您可以使用ESAPI库来解决此问题。
rev.ErrorMessage = ESAPI.encoder().encodeForHTML(msg);