Сканирование Veracode по-прежнему помечает проблемы XSS даже после использования ESAPI XSS Filter, определенного в web.xml

Question

Сканирование Veracode по-прежнему помечает проблемы XSS даже после использования ESAPI XSS Filter, определенного в web.xml

Создал XSS-фильтр с помощью ESAPI Refer ( https://dzone.com/articles/stronger-anti-cross-site) и определил его в web.xml. Сканировал файл ear с помощью Veracode. Veracode по-прежнему отмечает те же проблемы, что и проблемы XSS. Не принимает ли Veracode использование фильтра сервлетов в качестве разрешения для решения проблем XSS в коде.

0

jsp xss servlet-filters veracode esapi

Источник

user6399217 01 фев '18 в 07:05

1 ответ

Решение

Другие вопросы по тегам jsp xss servlet-filters veracode esapi

user298029 03 фев '18 в 13:14 2018-02-03 13:14 · Accepted Answer · 2018-02-03 13:14

Не используйте этот фильтр. Автор слишком оптимистичен в отношении того, что он может сделать. Есть много способов использовать XSS. Посмотрите на Шпаргалку XSS Filter Evasion для некоторых примеров. Возьмите один случайный пример: <IMG SRC=# onmouseover="alert('xxs')"> и пропустите его через фильтр. Это прошло прямо через.

То, как они сделали замены, может оставить входные данные в худшем состоянии, чем они начались. Удаляя теги сценариев из <<script>script>alert('xss')</<script>script>Вы остались с <script>alert('xss')</script>

Даже с добавлением большего количества шаблонов, черный список является неправильным, потому что он не может охватить все возможности и может испортить достоверные данные. Чтобы предотвратить проблемы XSS, вы должны убедиться, что любые данные, добавленные на страницу, закодированы в формате HTML. См.: XSS предотвращение - это JSP / Servlet.