我正在使用 Fortify 静态代码分析来分析我们的软件。 Fortify 报告称我们存在跨站点脚本漏洞(已反射(reflect)),但我认为我们实际上并没有这样做。
我可以尝试与客户争论这一点,让他们相信这是安全的(没有人愿意这样做,因为它需要审核),或者让 Fortify 满意;
我从 ASP.NET 的请求中获取表单参数,并“手动”(不使用 API)对其进行转义(转义任何换行符、\字符、引号并删除任何脚本标记)。然后我将其转储回浏览器,如下所示
output.Write("var enteredText = \"" + htmlEscape( Form.Params["enteredText"] ) +"\"");
加强投诉,除非我这样做
output.Write("var enteredText = \"" + htmlEscape( HttpUtility.HtmlEncode(Form.Params["enteredText"]) ) +"\"");
如何安抚 Fortify?
最佳答案
如果应用程序允许在 EnteredText 字段中使用任意 JavaScript,并将其作为 JavaScript 在浏览器中执行,那么您确实存在反射性跨站点脚本漏洞,而且情况非常严重。任何可以导致用户针对您的应用程序发布帖子(例如,鱼叉式网络钓鱼攻击)的人都可能对用户造成各种伤害。这是一次非常简单的攻击。
因此,修复方法是以下之一
拒绝此 EnteredText 字段中的 JavaScript(以及 HTML 和 CSS)。或者,如果这破坏了您的应用程序:
查看需要在 EnteredText 字段中包含可执行代码并将可接受的值列入白名单的用例。对于 JavaScript,拒绝任何可能导致页面重写的内容:OnLoad()、document.body.innerHTML(例如)的事件处理程序或重定向用户的浏览器。
同时拒绝任何可能发布到远程服务器的内容(例如表单、img、css 标签)。正如您所暗示的,这可能是很多代码。
这只是一个简单的示例,您需要研究可在跨站点脚本攻击中使用的标记和事件处理程序的类型。如果您不拒绝 EnteredText 字段中的内容,您仍然会遇到该漏洞。
希望这有帮助。祝你好运。
关于javascript - 安全地将表单参数反射(reflect)为 Javascript 变量,而不会扰乱 Fortify,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23574684/