我们的Primefaces应用程序扫描出现了一个XSS警报,说这是注射。它是一个滑块,bean中的set方法接受一个int - 所以我不认为我自己可以验证输入,除了set方法采用int这个事实。
这是真正的漏洞还是误报? 有修复吗?
<tr><td><span id="j_id_20:forceUtcOutput">!slider.forceUtc.start!</span> </td></tr>
<tr><td><input type="hidden" id="j_id_20:forceUtc" name="j_id_20:forceUtc" value="0--
>";</script><iframe src=javascript:alert(3714) " /></td> </tr>
<tr><td><div id="j_id_20:j_id_2c" class="borderGrid"></div><script id="j_id_20:j_id_2c_s"
type="text/javascript"><!--
$(function(){PrimeFaces.cw("Slider","widget_j_id_20_j_id_2c",{id:"j_id_20:j_id_2c",value:"0-->";
</script><iframe src=javascript:alert(3714)
....
Template:"???slider.forceUtc???",display:"j_id_20:forceUtcOutput"});});
//--></script></td></tr>
扫描程序用以下代码替换了HTTP请求中的0:
0-->";</script><iframe src=javascript:alert(3714)