V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ukipoi
V2EX  ›  问与答

做安全测试的时候,对一些 System.out.println 的地方检测出了 XSS 漏洞,请问这个漏洞是怎么造成的?

  •  
  •   ukipoi · 2019-12-12 11:04:53 +08:00 · 1591 次点击
    这是一个创建于 1807 天前的主题,其中的信息可能已经有所发展或是发生改变。

    系统打印的文字,可能会让程序继续执行吗?
    还有对 readline 检测出未经验证的输入,我要对读取文件得到的结果做什么样的验证呢?
    对特殊字符么,还是其他的什么?
    有点一头雾水,领导让我写整改方案,但是我都不知道为什么欸

    4 条回复    2019-12-12 16:29:07 +08:00
    ihacku
        1
    ihacku  
       2019-12-12 12:34:24 +08:00 via iPhone
    如果白盒扫出来的 误报可能性其实蛮高的
    你可以试下这个 https://github.com/momosecurity/rhizobia_J
    mythhack
        2
    mythhack  
       2019-12-12 13:58:26 +08:00
    没过滤输入输出。
    ukipoi
        3
    ukipoi  
    OP
       2019-12-12 15:47:32 +08:00
    @mythhack
    关键我不知道我要过滤什么字符啊,代码里是 readline 读文件,我甚至不知道它读的什么文件
    mythhack
        4
    mythhack  
       2019-12-12 16:29:07 +08:00
    @ukipoi 直接做转义或者编码吧,在输入和输出的位置
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2530 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 01:46 · PVG 09:46 · LAX 17:46 · JFK 20:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.