硬编码消息字符串上的xss漏洞利用

Question

五角星测试的新手。我运行了一个漏洞分析，指出我正在测试的应用程序有相当多的xss漏洞。

现在如何从这里开始呢？

Report Screenshot

源代码：

if(Name !=null)
        {

            if(Name.equals(server))
            {
                String appName = request.getParameter("appName");
                if(appName !=null && appName.equals(CommonUtil.getProductName()))
                {
                    message = addProductDetails(request, productName, message);
                }

            }
            else if(Name.equalsIgnoreCase(test))
            {

                ADSMPersUtil.updateSyMParameter("IS_INTEGRATED", "true");
                message = "Successfully Integrated";//No I18N
            }
            else{message = addProductDetails(request, productName, message);}
        }

        PrintWriter out = response.getWriter();
        response.setContentType("text/html");//No I18N
        out.println(message);
        out.close();
    }
    catch(Exception e){e.printStackTrace();}
}

Answer 1

如果message不是超文本标记语言，那么在插入到超文本标记语言流之前，需要对其进行超文本标记语言编码。<、>、"、'、&等字符需要转换为相应的HTML实体。

对于JSP，<c:out>标记进行这种编码，其他模板语言也有类似的方法。

当直接从Java写入OutputStream时，您可以使用Java方法进行转义。请参阅：Recommended method for escaping HTML in Java

如果message已经是超文本标记语言，那么生成超文本标记语言的代码同样需要对其中插入的任何数据值进行转义。

对于不包含这些特殊字符的常量字符串，您可以将其视为HTML字符串或纯文本字符串。在输出这些字符串时对它们进行转义会更健壮，这可以防止在将来字符串发生变化时引入任何XSS问题，特别是当它们是用其他方法创建的时候。