Mi aplicación es vulnerable al ataque XSS. La tecnología utilizada en la aplicación es Servlet 2.2, JSP 1.1, Jdk 1.3, WAS 4.0. Quería remediar la vulnerabilidad de XSS con la migración de tecnología o remediar con la tecnología actual. A partir de ahora pensé migrar el servlet 2.2 a 2.3 para usar la interfaz de filtro. Indique qué cambios debo realizar en la aplicación actual para migrar el servlet de 2.2 a 2.3. Cualquier otro consejo para la remediación también es bienvenido.
Fundamentalmente, XSS es uno de:
Si tiene puntos de entrada de datos conocidos, puede limpiar toda la entrada. Si debe conservar los caracteres especiales y el formato, también debe escapar de la salida. El escape de salida no es trivial y depende del contexto de la salida (por ejemplo, en un enlace, en un ancla, en un bloque de texto, en un campo de formulario). Vale la pena usar una biblioteca estándar para llevar a cabo esta acción.
Este artículo de OWASP tiene más información: enlace
Un FW de la aplicación web también puede proporcionar cierto nivel de protección si se configura correctamente dependiendo de la naturaleza de sus datos.
Lea otras preguntas en las etiquetas xss