PrimeFaces Slider中是否存在XSS注入漏洞?

时间:2017-09-21 15:30:39

标签: security primefaces xss code-injection

我们的Primefaces应用程序扫描出现了一个XSS警报,说这是注射。它是一个滑块,bean中的set方法接受一个int - 所以我不认为我自己可以验证输入,除了set方法采用int这个事实。

这是真正的漏洞还是误报? 有修复吗?

<tr><td><span id="j_id_20:forceUtcOutput">!slider.forceUtc.start!</span>    </td></tr>
<tr><td><input type="hidden" id="j_id_20:forceUtc" name="j_id_20:forceUtc"     value="0--
&gt;&quot;;&lt;/script&gt;&lt;iframe src=javascript:alert(3714) " /></td>    </tr>
<tr><td><div id="j_id_20:j_id_2c" class="borderGrid"></div><script     id="j_id_20:j_id_2c_s"
type="text/javascript"><!--
$(function(){PrimeFaces.cw("Slider","widget_j_id_20_j_id_2c",{id:"j_id_20:j_id_2c",value:"0-->";
</script><iframe src=javascript:alert(3714)
.... 
Template:"???slider.forceUtc???",display:"j_id_20:forceUtcOutput"});});
//--></script></td></tr>

扫描程序用以下代码替换了HTTP请求中的0:

0-->";</script><iframe src=javascript:alert(3714)

0 个答案:

没有答案