网页中与脚本相关的HTML标记中和不当(Basic XSS)(CWE ID 80)
我的项目客户希望所有的应用程序都是Veracode兼容的.................................................................................
提供扫描的应用程序基本上是使用ASP Classic(VBScript)构建的。
报告的一些行有:
<td <%=feltfarve%> nowrap><%=tabeltekst_start%><a href="#" onclick="checkbrowser('<%=rsDBox("filid")%>','');" onmouseover=" window.status=' <%= f(18) & " " & rsDBox("filnavn")%>'; return true" onmouseout="window.status=''; return true");"><%=rsDBox("filnavn")%></a><%=tabeltekst_slut%></td>
<a onmouseover="EnterContent('ToolTip','<%=f(33)%>','<% if sagerRS("dkrerefnr") <> "" then Response.Write (replace(f(34),"%1", sagerRS("dkrerefnr"))) else Response.Write(replace(f(34),"%1", f(35))) end if%>'); Activate();" onmouseout="deActivate()" href="javascript:void(0)"><img src="/secure/images/rolloverknap/gray_e.gif" border="0" WIDTH="12" HEIGHT="12"></a>
Response.Write " <a onmouseover=""EnterContent('ToolTip','"& f(36) &"','" & kretxt & "'); Activate();"" onmouseout=""deActivate()"" href=""javascript:void(0)""><img src=""/secure/images/rolloverknap/gray_i.gif"" border=""0"" WIDTH=""12"" HEIGHT=""12""></a> "
什么类型的修复程序可以应用于解决这些交叉脚本缺陷??
共有2个答案
我认为我们应该使用server.htmlencode来修复XSS(跨站点脚本)威胁。
看看您的代码,有几个变量可能会产生问题。我不确定Veracode是如何检查问题的,但如果这些变量中的任何一个来自用户提供的值,它们就会带来风险。
首先是基础知识,如果允许在任何变量中加入和<,特别是与允许加入“”和'相结合,那么所有的东西都是一个线程。它们可以插入几乎任何东西。
在您的示例中,允许“和”就足以产生问题,因为Javascript代码中已经插入了大量变量,如onmouseover和onmouseout
此外,feltfarve总是会导致问题,即使您不允许使用这些字符。
中的feltfarve在没有qoutes或其他内容的标记中。如果有人可以将值修改为onmouseover=dobadstuff(),您就麻烦了。如果他们把它和风格结合起来,他们甚至可以使它全屏,这样几乎任何人都可以悬停它。
请记住,如果您直接从数据库中插入值,我认为%=rsdbox(“filid”)%>正在做什么,那么您必须100%确定在插入时正确地检查了这些值。
由于DB最佳做法是按照提供的(未编码)插入数据,因此在将这些值放入HTML之前,应始终检查这些值。
-
任何人都可以帮助我了解出了什么问题。 veracode向我显示以下错误: B和C是值对象(Vo),其实例是JSON属性。所有getter和setter方法都返回/使用String。
-
我正在尝试获取webservice应用程序的服务器详细信息 我最近运行了veracode,遇到了的问题,有什么建议可以防止它吗?
-
我继承了一个遗留应用程序,下面给出了一段代码。 Veracode在'out.println()'处抛出一个异常“Web页面中与脚本相关的HTML标记(Basic XSS)的不当中和”。 有谁能告诉我这个问题应该如何解决吗?如有任何帮助,将不胜感激。
-
Veracode在下面一行中指出了在Web页面(Basic XSS)中与脚本相关的HTML标记的不适当中和问题。 $('#SummaryDiv').html(数据); 我正在通过ajax调用将MVC视图结果绑定到DIV。检查了stackoverflow中的文章,但没有结果。解决这个veracode问题的可能方法是什么。
-
不确定对我的答复我需要申请什么样的验证。
-
最近,我们在web应用程序上运行了VeraCode。我们得到了CWE80,Web页面中与脚本相关的HTML标记的不适当中性化(基本XSS),在下面的行中 有人有什么建议如何解决这个问题吗?