我正在使用主要在JSPS中修复代码中的跨站点脚本问题。
以下是原始代码
//scriplet code
<% String userId = request.getParameter("sid");
...%>
并且在同一个Jsp中他们有
<input type = hidden name = "userID" value = "<%= userId %>" />
我做了更改,在lib和ESAPI.properties中包含esapi-2.1.0.jar,在classpath中包含validation.properties。然后在下面更改scriplet代码以修复上面的代码
//scriplet code
<% String userId = ESAPI.encoder().encodeForHTML(request.getParameter("sid"));
...%>
我认为这可以解决问题但是当我使用Fortify扫描我的代码时,这些行再次突出显示为有XSS问题。如果你们对如何处理这个问题有任何想法,请帮忙。感谢。
-------更新
非常感谢@avgvstvs。这是非常有见地的.Follwd指导方针,不确定我是不是很想念。代码 -
String userSID=ESAPI.encoder().encodeForHTMLAttribute(request.getHeader("janus_sid")); session.setAttribute("username",userSID);<input type=hidden name="USERNAME" value="<%= userSID %>"
对于另一个varibale调试,下面是用法
String debugFlag = ESAPI.encoder().encodeForJavaScript(request.getParameter("debug"));var debugFlag = "<%= debugFlag%>";if(debugFlag == "y"){
document.title= title + " (" + host + ")";
defaultAppTitle = title + " (" + host + ")";
}
最新的Fortify扫描仍将其列为漏洞: - (
答案 0 :(得分:8)
您需要问的第一个问题应该是“我将这个值交给哪些代码解释器?”
不幸的是,防止XSS不是基于配方的任务,从它的外观来看 - 你的应用程序正在使用scriptlet,aside from being bad Java practice使得像Fortify这样的静态代码扫描工具变得更加困难。给你准确的结果。 JSP在运行时编译,但Fortify仅扫描源。您应该注意到将来的任务/故事应该归档到JSTL的重构脚本 - 您将在以后感谢我。那么你可以使用esapi taglibs来处理这些用例。 Fortify可以很好地扫描纯Java代码,而taglibs可以帮助你。
ESAPI.encoder().encodeForHTML(userId)只会在有问题的变量放在标签之间的用例中保护您免受XSS攻击,例如<span><%= userId %></span>这不是你的情况。
ESAPI.encoder().encodeForHTMLAttribute(userId)就是您想要的特定,狭隘的用例。这是因为转义规则在Html属性中与在标记中放置的数据不同。这应该可以解决你的问题。
如果该值仅由JavaScript使用,那么您需要ESAPI.encoder().encodeForJavaScript(userId)
如果该值将是可呈现的HTML,则会发送到将呈现您的标记的javascript函数,例如element.innerHTML = “<HTML> Tags and markup”;您希望<%=Encoder.encodeForJS(Encoder.encodeForHTML(userId))%>
这只是一些例子,here are a few more - 但我的答案的首要任务是:你需要知道应用程序中每个变量的完整数据流,总是编码适当的输出上下文。在安全领域,“上下文”意味着“数据正在传递给新的代码解释器”。如果你很好地实现这种理解,你将不再需要Fortify! : - )
在您的评论中,您注意到该值后来被JavaScript使用。因此,在这种情况下,正确的解决方案可能是分叉两个不同的变量,每个变量都设置为正确的编码。对于HTML属性案例:
String escapedHtmlUserId = ESAPI.encoder().encodeForHTMLAttribute(userId);
对于Javascript案例:
String escapedJSUserId = ESAPI.encoder().encodeForJavaScript(userId);
然后适当地使用这些值。如果您使用了JSTL / taglib,则可以在正确的位置使用正确的esapi taglib,而不是分成两个单独的scriptlet变量。
来自对OP的评论:
我们有一个初始的scriptlet声明:
<% String userId = ESAPI.encoder().encodeForHTML(request.getParameter("sid"));
...%>
稍后在javascript函数中使用它:
<%= ESAPI.encoder().encodeForJavascripl(userId)%>`
只是要指出,如上所述,userId变量在初始化时不再是原始文本。实际上,javascript的编码变为:
<% ESAPI.encoder().encodeForJavascript(ESAPI.encoder().encodeForHTML(request.getParameter("sid")));
...%>
如果javascript将使用* .innerHTML()或* .outerHTML()呈现HTML,这很好。否则,请注意输入已从其原始状态更改。
另外,请注意一些事件JavaScript can undo what you've done,并确保您的JavaScript没有做类似的事情。
==========更多添加的代码,更多问题========
所以我们已经跟踪了所有的数据路径,我们已经仔细检查过我们的JSP没有被包含在一个不同的JSP中,这个JSP为我们引入了新的上下文来防范,现在我正在这里闻到“假阳性”,但如果我是你,我会联系惠普支持并提出这个问题,以获得误报。除非我能够访问完整的源代码,否则我不太了解您的应用程序的具体内容对您真正有用。因为你正在处理scriptlet - Fortify无法跟踪从变量实例化到最终输出的完整数据路径,所以它很快就会失败,所以它至少可以警告你到目前为止发现了什么。
答案 1 :(得分:7)
谢谢你的帮助。最后找出了一个防止XSS问题并通过Fortify静态代码分析的解决方案。我已经将ESAPI与Anitsamy库一起使用了。以下是所需的3个主要更改。
实施Anitsamy过滤器
添加新的过滤器并覆盖请求方法getParameter,getParameterValues以去除请求中的任何可疑标记。过滤器加载策略文件,我们在其中定义我们的规则,如
一个。需要从请求中删除的标签(标签等)
湾常用属性的正则表达式,如href,align等。
过滤器的实现示例在http://barrypitman.com/2011/04/14/using-input-validation-XSS/
使用ESAPI库执行输入验证
String reportName = request.getParameter("reportName");
ESAPI.validator().getValidInput("Report Name",
reportName, "ReportNamePattern", 100, false);
在上面的代码中,
执行输出编码
正如@avgvstvs指出的那样,输出编码也是必须的。
如果要在HTML中使用reportName字段,则下面是如何编码
<tr> <th> Report : <%=ESAPI.encoder().encodeForHTML(reportName)%> </th> </tr>
如果要在javascript代码中使用reportName字段,则下面是如何编码
var reportName = "<%= ESAPI.encoder().encodeForJavaScript(reportName)%>";
如果要在HTML属性中使用reportName字段,则下面是如何编码
<input type=hidden name="USERNAME" value="<%=ESAPI.encoder().encodeForHTMLAttribute
(reportName)%>"/>