最近,项目工程进行 代码安全扫描 的过程中产生了一个 XSS 相关的bug,在此记录解决办法,和大家分享。
一.问题描述
漏洞扫描过程中报下面缺陷信息,大致意思是说 由于页面在接收参数的过程中,没有进行参数的校验,可能存在 参数中存在可执行代码的漏洞。
Cross-Site Scripting: Persistent Critical
Package: /WEB-INF/views/xx
xx-web/webapp/WEB-INF/views/xxxt.jsp, line 36 (Cross-Site
Scripting: Persistent) Critical
57 @Override
Sink Details
Sink: javax.servlet.jsp.JspWriter.print()
Enclosing Method: _jspService()
File: xx-web/webapp/WEB-INF/views/xx.jsp:36
Taint Flags: DATABASE, XSS
33 <form id="policy_save" method="POST">
34 <table class="edit-table mg-t-1">
35 <input type="hidden" id="zcLsh" name="zcLsh" value="${zfzc.zcLsh}">
36 <input type="hidden" name="zcbjLsh" value="${zfzc.zcbjLsh}">
37 <input type="hidden" name="createTime" value="${zfzc.createTime}">
38 <input type="hidden" name="createUser" value="${zfzc.createUser}">
39 <input type="hidden" name="functionName" value="2"/>
二.产生原因
这里引用参考的一篇文章:如何防止XSS攻击?
三.解决办法
解决该问题的办法,就是要将页面上接收的后台参数进行转义处理,避免我们的参数中出现 “特殊字符”。这里经过资料搜集及实践,我们采用开源框架 OWASP Java Encoder Project,这个开源框架主要就是进行 HTML 页面或 web 项目中 特殊字符的 转义处理。
OWASP Java Encoder Project
主页地址:https://www.owasp.org/index.php/OWASP_Java_Encoder_Project
githib地址:https://github.com/OWASP/owasp-java-encoder
1.先要在web工程中引入 pom 依赖
<dependency>
<groupId>org.owasp.encoder</groupId>
<artifactId>encoder</artifactId>
<version>1.2.2</version>
</dependency>
<dependency>
<groupId>org.owasp.encoder</groupId>
<artifactId>encoder-jsp</artifactId>
<version>1.2.2</version>
</dependency>
2.在 jsp 页面中,调用相应的转义方法
例如,文章开头中出现 bug 提示的内容:
我们引入以下标签库 ,并使用方法e.forHtml(),将 EL 表达式中的参数进行过滤
<!-- 解决XSS漏洞,引入下面lib -->
<%@taglib prefix="e" uri="https://www.owasp.org/index.php/OWASP_Java_Encoder_Project" %>
...
<input type="hidden" id="zcLsh" name="zcLsh" value="${e:forHtml(mc.zcLsh)}">
<input type="hidden" name="zcbjLsh" value="${e:forHtml(mc.zcbjLsh)}">
<input type="hidden" name="createTime" value="${e:forHtml(mc.createTime)}">
<input type="hidden" name="createUser" value="${e:forHtml(mc.createUser)}">
<input type="hidden" name="functionName" value="2"/>
<input type="hidden" name="relationId" id="relationId" value=""/>
再次扫描时,该 bug 未重现。
有关该问题的更多使用,大家可以参考文中的项目地址,有问题我们可以留言交流。