做安全测试的时候,对一些 System.out.println 的地方检测出了 XSS 漏洞,请问这个漏洞是怎么造成的?

2019-12-12 11:04:53 +08:00
 ukipoi

系统打印的文字,可能会让程序继续执行吗?
还有对 readline 检测出未经验证的输入,我要对读取文件得到的结果做什么样的验证呢?
对特殊字符么,还是其他的什么?
有点一头雾水,领导让我写整改方案,但是我都不知道为什么欸

1611 次点击
所在节点    问与答
4 条回复
ihacku
2019-12-12 12:34:24 +08:00
如果白盒扫出来的 误报可能性其实蛮高的
你可以试下这个 https://github.com/momosecurity/rhizobia_J
mythhack
2019-12-12 13:58:26 +08:00
没过滤输入输出。
ukipoi
2019-12-12 15:47:32 +08:00
@mythhack
关键我不知道我要过滤什么字符啊,代码里是 readline 读文件,我甚至不知道它读的什么文件
mythhack
2019-12-12 16:29:07 +08:00
@ukipoi 直接做转义或者编码吧,在输入和输出的位置

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/628272

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX