反射XSS : request.getParameter

Question

最近对一个应用程序进行的审计发现了一个XSS反映的漏洞：

参数idPage上的用户控制输入被直接传递到呈现的网页，如您在源代码中所看到的：

<input type="hidden" name="idPage"
       value="<%=(request.getParameter("idPage") == null) ? "" : request.getParameter("idPage")%>">

我能做些什么来解决这个问题？

Answer 1

您需要对idPage参数进行转义，否则攻击者可以通过如下链接向互联网发送垃圾邮件：

http://example.com/reward.jsp?idPage=%22%3E%3Cscript%3Esteal(document.cookie)%3C/script%3E

其中%22%3E%3Cscript%3Esteal(document.cookie)%3C/script%3E等于：

"><script>steal(document.cookie)</script>

您的脚本将呈现这样的页面，并且很可能会执行一些恶意脚本：

<input type="hidden" name="idPage"
       value=""><script>steal(document.cookie)</script>">

或多或少(您可能需要一些额外的编码，但这大致就是攻击的样子)