¿Cómo prevenir la vulnerabilidad persistente de XSS con Java Struts 1 Framework?

1

Tengo una aplicación que se ejecuta bajo Tomcat 7, desarrollada con Struts (Java Web Framework). Mi aplicación contiene una vulnerabilidad de seguridad (secuencias de comandos XSS entre sitios).

¿Qué tipo de vulnerabilidad XSS es?

  • Persistente (o almacenado)

¿Cómo se presenta y cuál es el contexto?

  • Introduzca el valor en el campo de texto

¿Qué marcos de Java está utilizando?

  • puntales 1.3

XSS se realiza mediante el código HTML, que fue introducido por un tercero y lo realiza la aplicación. En el siguiente ejemplo se muestra la vulnerabilidad:

<html:text name="grupo" property="description" size="50" alt="Description"/>

Despuésdeenviarelformulario:

    
pregunta grf2018 31.05.2018 - 20:23
fuente

1 respuesta

1

No sé sobre Struts si tiene alguna protección incorporada, pero podría escapar (sanear) las etiquetas html, de modo que cuando la etiqueta del script se imprima en la página, no se ejecutará. Debe colocar su código de saneamiento en el controlador de acción donde se envía el formulario.

Replace "<" character with &lt; and ">" with &gt;. After that script tags won't be executed.

La hoja de trucos OWASP XSS lo ayudará a mitigar las vulnerabilidades de XSS: enlace

O como comentó @dandavis: un CSP ayudaría a mitigar si no puede actualizar la lógica de la aplicación.

    
respondido por el Aulis Ronkainen 31.05.2018 - 21:52
fuente

Lea otras preguntas en las etiquetas