ASP.NET-某些代码反映了安全性XSS问题

分类:编程问答

如何解决ASP.NET-某些代码反映了安全性XSS问题

我在这里工作,他们使用一个名为checkmarx的应用程序来分析该应用程序的安全性

在其中一项分析中,应用程序检测到以下问题:

反映了XSS所有客户端:

应用程序的GetBarcosNaoVinculados将不受信任的数据嵌入到 使用Json生成的输出,位于第1243行 ... /控制器/AdminUserController.cs。此不受信任的数据是 直接嵌入到输出中,而没有适当的消毒或 编码,使攻击者能够将恶意代码注入到 输出。攻击者可以通过以下方式更改返回的网页 只需在用户inputusuarioId中提供修改后的数据,即 由GetBarcosNaoVinculados方法在第1243行读取 ... /控制器/AdminUserController.cs。然后此输入流经 直接将代码直接输出到输出网页,而无需清理。

public JsonResult GetBarcosNaoVinculados(string usuarioId)              
.....
.....
 return Json(barcosNaoVinculados,JsonRequestBehavior.AllowGet)

在系统中的其他地方,使用这两种方法都会遇到相同的问题

应用程序的LoadCodeRve将不可信数据嵌入生成的 在第738行的SerializeObject输出 ... / BR.Rve.UI.Site/Controllers/InfoApontamentoController.cs。这个 不受信任的数据直接嵌入到输出中,而没有适当的 清理或编码,使攻击者能够注入恶意软件 代码输入到输出中,攻击者将能够更改返回的内容 通过提前将恶意数据保存在数据存储中来创建网页。的 然后,Buscar从数据库中读取攻击者的修改数据 在... / Repository / Repository.cs的第78行使用Where的方法。这个 然后,不受信任的数据直接通过代码流到输出Web 页面,无需消毒。

public virtual IEnumerable<TEntity> Buscar(Expression<Func<TEntity,bool>>predicate)
   return Dbset.Where(predicate);

public string LoadCodeRve()
  return JsonConvert.SerializeObject(items);

似乎与JSON格式的处理有关,有人知道如何处理此类问题吗?

解决方法

如警告消息所示,您需要执行某种形式的输入验证(或清理),以及作为安全编码最佳实践-输出编码,然后再将输出呈现到页面中。 Checkmarx搜索这些“消毒剂”的存在,并且在其Checkmarx查询中预定义了这些消毒剂。例如,一种是使用AntiXSS库(即JavascriptEncode函数)

要检查的两条关键线已经由Checkmarx指出:

const now = moment()
// -> moment format is not compatible until converted toDate
const oneWeekFromNow = now.add(1,'week').toDate()
const update = {
  endDate: oneWeekFromNow
}


return Json(barcosNaoVinculados,JsonRequestBehavior.AllowGet)

这些值(JSON或String)最终到达哪个页面,都需要对其进行转义。现在,根据所使用的模板引擎,您可能已经获得了即时XSS保护。例如,"The Razor engine used in MVC automatically encodes all output sourced from variables,unless you work really hard to prevent it doing so.",除非您当然使用了Html.Raw帮助器方法。

作为应用程序安全性的推动者,我们相信不信任输入并具有多层防御,因此我的建议是通过传入JsonSerializerSettings参数明确表明您要编码输出:

return JsonConvert.SerializeObject(items);

这里唯一的难题是Checkmarx可能不会将其视为消毒剂,因为它可能不在其预定义的消毒剂列表中。您总是可以将此解决方案作为运行安全性扫描的安全性团队的一个论据

对于JsonResult返回的情况,您可能需要对barcosNaoVinculados变量进行javascript编码:

return JsonConvert.SerializeObject(items,new JsonSerializerSettings { StringEscapeHandling = StringEscapeHandling.EscapeHtml });

现在,Checkmarx可能也无法识别。您可以尝试使用Checkmarx可以识别的代码(即Encoder.JavascriptEncode或AntiXss.JavascriptEncode),但我认为这些Nuget包不适用于您的项目类型

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐

matplotlib报错:AttributeError: module 'backend_interagg' has no attribute 'FigureCanvas'. Did you mean: 'FigureCanvasAgg'?
使用本地python环境可以成功执行 import pandas as pd import matplotlib.pyplot as plt # 设置字体 plt.rcParams[&#39;font.sans-serif&#39;] = [&#39;SimHei&#39;] # 能正确显示负号 p
gitlab登录失败,报错:This challenge page was accidentally cached by an intermediary and is no longer available.
设置时间 控制面板
后端开发常见错误
错误1:Request method ‘DELETE‘ not supported 错误还原:controller层有一个接口,访问该接口时报错:Request method ‘DELETE‘ not supported 错误原因:没有接收到前端传入的参数,修改为如下 参考 错误2:cannot r
docker常见错误
错误1:启动docker镜像时报错:Error response from daemon: driver failed programming external connectivity on endpoint quirky_allen 解决方法:重启docker -&gt; systemctl r
idea常见错误
错误1:private field ‘xxx‘ is never assigned 按Altʾnter快捷键,选择第2项 参考:https://blog.csdn.net/shi_hong_fei_hei/article/details/88814070 错误2:启动时报错,不能找到主启动类 #
pip安装依赖失败
报错如下,通过源不能下载,最后警告pip需升级版本 Requirement already satisfied: pip in c:\users\ychen\appdata\local\programs\python\python310\lib\site-packages (22.0.4) Coll
maven常见错误
错误1:maven打包报错 错误还原:使用maven打包项目时报错如下 [ERROR] Failed to execute goal org.apache.maven.plugins:maven-resources-plugin:3.2.0:resources (default-resources)
cloud项目中常见错误
错误1:服务调用时报错 服务消费者模块assess通过openFeign调用服务提供者模块hires 如下为服务提供者模块hires的控制层接口 @RestController @RequestMapping(&quot;/hires&quot;) public class FeignControl
springboot常见错误
错误1:运行项目后报如下错误 解决方案 报错2:Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin:3.8.1:compile (default-compile) on project sb 解决方案:在pom.
springmvc拦截器中使用redisTemplate报空指针异常
参考 错误原因 过滤器或拦截器在生效时,redisTemplate还没有注入 解决方案:在注入容器时就生效 @Component //项目运行时就注入Spring容器 public class RedisBean { @Resource private RedisTemplate&lt;String
vite报错:npm ERR! command C:WINDOWSsystem32cmd.exe /d /s /c C:UsersychenAppDataLocalTempnpx-dde1c848.cmd
使用vite构建项目报错 C:\Users\ychen\work&gt;npm init @vitejs/app @vitejs/create-app is deprecated, use npm init vite instead C:\Users\ychen\AppData\Local\npm-
VM VirtualBox中安装centos时报错:设置基础软件仓库时出错
参考1 参考2 解决方案 # 点击安装源 协议选择 http:// 路径填写 mirrors.aliyun.com/centos/8.3.2011/BaseOS/x86_64/os URL类型 软件库URL 其他路径 # 版本 7 mirrors.aliyun.com/centos/7/os/x86
kafka常见问题
报错1 [root@slave1 data_mocker]# kafka-console-consumer.sh --bootstrap-server slave1:9092 --topic topic_db [2023-12-19 18:31:12,770] WARN [Consumer clie
hive常见问题
错误1 # 重写数据 hive (edu)&gt; insert overwrite table dwd_trade_cart_add_inc &gt; select data.id, &gt; data.user_id, &gt; data.course_id, &gt; date_format(
装载数据时报错:Failed to execute spark task, with exception 'org.apache.hadoop.hive.ql.metadata.HiveException(Failed to create spark client.)'
错误1 hive (edu)&gt; insert into huanhuan values(1,&#39;haoge&#39;); Query ID = root_20240110071417_fe1517ad-3607-41f4-bdcf-d00b98ac443e Total jobs = 1
flume常见问题
报错1:执行到如下就不执行了,没有显示Successfully registered new MBean. [root@slave1 bin]# /usr/local/software/flume-1.9.0/bin/flume-ng agent -n a1 -c /usr/local/softwa
hadoop集群常见错误
虚拟及没有启动任何服务器查看jps会显示jps,如果没有显示任何东西 [root@slave2 ~]# jps 9647 Jps 解决方案 # 进入/tmp查看 [root@slave1 dfs]# cd /tmp [root@slave1 tmp]# ll 总用量 48 drwxr-xr-x. 2
hive常见错误
报错1 hive&gt; show databases; OK Failed with exception java.io.IOException:java.lang.RuntimeException: Error in configuring object Time taken: 0.474 se
Linux常见错误
报错1 [root@localhost ~]# vim -bash: vim: 未找到命令 安装vim yum -y install vim* # 查看是否安装成功 [root@hadoop01 hadoop]# rpm -qa |grep vim vim-X11-7.4.629-8.el7_9.x
使用sqoop一直卡在:mapreduce.Job: Running job: job_1703173956074_0001
修改hadoop配置 vi /usr/local/software/hadoop-2.9.2/etc/hadoop/yarn-site.xml # 添加如下 &lt;configuration&gt; &lt;property&gt; &lt;name&gt;yarn.nodemanager.res
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot