奇安信扫描文件下载功能的存储型XSS漏洞修复

已于 2023-11-16 16:21:37 修改
阅读量567 收藏
点赞数 1
分类专栏: 报错解决 文章标签: xss
于 2023-11-16 16:01:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43599841/article/details/134443679
版权

一、业务描述

项目有个文件下载的功能,是从数据库读取文件路径,再根据路径获取本地的文件流响应给浏览器进行下载,当然是随手一个复制粘贴,然后就被扫描出了存储型XSS漏洞。
在这里插入图片描述
怎么看都很正常就是过不了扫描,搜了一些歪门邪道的方法都没用,差点就把每个字节数组拿出来过滤过滤了。
在这里插入图片描述

二、解决方法

我用的是org.apache.poi下的一个工具包,org.apache.commons下好像也有,属于瞎猫碰到死耗子,希望对你有帮助。
在这里插入图片描述
不想导这个包的话,这是它的实现,内网电脑不方便复制,搜一下应该有类似的方法。
在这里插入图片描述
在这里插入图片描述

春天の熊
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
奇安信安全漏洞XSS漏洞 重定向漏洞解决及产生分析
m0_61068088的博客
04-09 1087
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
奇安信安全扫描漏洞解决路径遍历和存储xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
奇安信安全漏洞XSS漏洞/重定向漏洞解决及产生分析!
weixin_47898697的博客
06-26 2437
解决基于DOM的XSS漏洞方法,详细讲解
奇安信常见安全漏洞修复
qiaosaifei的博客
01-10 2417
奇安信常见安全漏洞问题及修复
Java代码漏洞检测-常见漏洞修复建议
最新发布
xnxqwzy的博客
02-21 1795
背景:在工作中,项目交付团队在交付项目时,客户方可能会有项目安全要求,会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。银保等金融类企业信息安全处的安全扫描一般分为五项,主机漏洞,主机基线漏洞,代码检测漏洞,渗透测试漏洞,WEB扫描漏洞,以下漏洞为代码检漏洞.
奇安信xss漏洞问题解决
hwb33333的博客
05-31 1656
重要的事情说三遍,不管你在过滤器配置写的过滤多好,本地代码返回有多正确,它是不会检测到的!你需要在它检测出的接口那加上过滤。ps:在方法里不要写判断,直接走过滤逻辑,因为它这破检测会走别的逻辑,哪怕你用的接口写死只走过滤的逻辑,还是会检测出来漏洞
【安全牛学习笔记】存储XSS漏洞原理及修复方法
edu_aqniu的博客
10-23 4811
存储 XSS  漏洞的原理及修复方法  1.常见的触发场景 2.漏洞原理 3.漏洞危害 4.一些tips 5.如何避免&修复漏洞 www-data@w:~/controller$ vim missionController.class.php class missionController extends baseController{
存储xss
baidu_41942652的博客
04-28 2006
首先打开pikachu测试平台,找到存储xss章节。 先输入一段内容 发现存到了后台数据库里。 再次输入‘“<>?&666类似的控制字符。 发现也留在了后台数据库。 查看网站源码 可以找到,我们输入的内容以及写入前端的代码。 这样,我们创造一个合法的script语句,这里是一个弹窗 这里就发现弹出了弹窗,而且每次刷新都会出现弹窗。 这样,一次存储xss测试就完成...
XSS跨站脚本攻击漏洞解决
各自安好、的博客
08-19 1147
XSS(跨站脚本)攻击分类 存储 存储XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie 反射 非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面 DOMXSS 不经过后端,DOM-XSS漏洞是基于文档对象模(Document Objeet Model,DOM)的一种漏洞
存储xss漏洞怎么解决_扫描器开发——查找反射XSS漏洞
weixin_39631953的博客
11-24 793
​  翻译文章,原文:Writing a scanner to find reflected XSS vulnerabilities — Part 1[1]代码地址:https://github.com/akhil-reni/xsstutorial , 可以直接看代码,感觉文章本身有点乱,看完才觉得好多地方说的很乱2016年,我从事一个与burp suite非常相似的Web应用程序扫描程序项目,该...
YXcms-含有存储XSS漏洞的源码包
03-17
YXcms-含有存储XSS漏洞的源码包,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
YXcms-含有存储XSS漏洞的源码包,亲测真实有效,可用,如有侵权,请联系CSDN管理员删除即可
DedeCMS 存储xss漏洞1
08-03
Dedecms会员功能shops_delivery.php中的 des 参数存在存储XSS漏洞,攻击者可利用漏洞获得用户测试环境:DedeCMS-V5.7-U
SQL+XSS漏洞修复方案
04-13
近期公司的项目遭受了SQL+XSS攻击(市面上现在检测工具很多如:AWVS/360等),现贴出项目中的修复核心代码,需要的可以参考一下
XSS 存储漏洞解决
qq_33391644的博客
07-21 1279
XSS漏洞修复 网上方案不得不妨看一下,网上方案优化之后的代码
跨站脚本 XSS漏洞解决办法
cs95T6的博客
05-05 703
xss漏洞解决
存储XSS漏洞
weixin_41970600的博客
03-12 612
除了直接弹窗探测,复杂点可以闭合input,textarea等标签绕过上传; 一般服务端对客户端表单长度限制 如果仅仅限制长度可以采用分段上传: (上面是原始数据,下面是经过截断上传) 一般后台防范方法都是将传递数据过滤,比如: data[′title′]=striptags(data['title'] = strip_tags(data[′title′]=stript​ags(data[‘...
XSS 存储漏洞修复
热门推荐
qq_26244285的博客
01-20 1万+
收到检查报告,说是有xss 存储漏洞,百度看了很多资料总结两句话 1、保存数据库内容需要过滤 2、设置过滤器 思路:我们需要一个过滤前在Controller方法调用前对所有参数进行检查,过滤替换。 过滤》替换非法参数》继续Controller调用。 网上得思路基本是替换,没看到拒绝请求,因为过滤得检查很多很容易被拒绝非常不友好 做法spring拦截器:检查非法内容或特定内容拒绝请求,使用sprintboot得做法很简单,做一个aop切面定义一个定义一个拦截器 import javax..
反射xss漏洞修复建议
07-12
对于反射XSS漏洞修复,以下是一些建议: 1. 输入验证和过滤:对用户输入的数据进行验证和过滤,移除或转义特殊字符,确保用户输入不包含恶意的脚本代码。 2. 输出编码:在将用户输入的数据输出到网页上时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值