XSS攻撃を防ぐ方法tomcat 5.5

Question

私はtomcat 5.5.36を使用しています。私はJSPでアプリケーションを構築しました。私は私のアプリケーションをスキャンするために "toolOwasp Zapセキュリティツール"を使いました。レポートでは、XSSに関する問題が見つかりました。私はユーザーにログインして投稿するためにフォームを使用しています。報告書の中で

その格言（反射）クロスサイトスクリプティング

パラメータ - ユーザ名 アタック - </span><script>alert(1);</script><span> 証拠 - 私は、ユーザーを認証するために雪村IDを使用しています</span><script>alert(1);</script><span>

。私はXSS攻撃に関するいくつかのドキュメントを読みましたが、適切な解決策を見つけることができませんでした。これは特定のTomcatバージョンで動作します。 （注：CSRFトークンを使用するソリューションはありますか？）

Answer 1

まずは賞賛があります！

あなたはアプリケーションのセキュリティを確保し、偉大な開発者になるための最大のステップを踏みました。真剣に言えば、それは業界ではそれほど遠くないため、開発者の未来について気分を良くしています。 は、クロスサイトスクリプティングに対してアプリケーションを保護する、または実際の脆弱性のいずれかの他の種類、何かをインストールしたり、実際にTomcatの中に何かを有効にすることで簡単に達成できるものではありません。

今すぐ楽しい部分のために:-)よくやりましたTomcatを使用しているという事実は、アプリケーションレベルの脆弱性と実際に関連しているべきではありません。さらに、クロスサイトリクエスト偽造は、独立した無関係の脆弱性です。申し訳ありません:-(

具体的な例を見てみましょう。基本的に問題は、ユーザーがログインフォームに入力した入力を取り込んで、ページを消毒することなくページに印刷することです。 </span><script>alert(1);</script><span>という名前でログインしようとしたという報告と、スクリプトとアラートがレスポンスに印刷されていることがわかりました。

あなた自身で試してみると、アラートが表示されますポップアップ

残念ながら、アプリケーションを保護するために単純な切り替えはありません。一般的な脆弱性の種類それぞれに対抗するための標準的なアプローチとツールを学びます。

OWASP Top 10 wikiは、さまざまな脆弱性に関する情報を提供しています。どのような働きをしているのか、また守るために何をすべきかを知ることができます。

https://www.owasp.org/index.php/Top_10_2013-Top_10

あなたも、コードサンプルを見つけて助けるために例を働いたことができます。

私はここで屠殺に子羊を導いているような気がする - 私はすべてのことを読むことはかなり気になるが、あなたの時間を取るとパニックにならないことを知っている。それぞれの脆弱性の種類を理解すれば、ほとんどの脆弱性を簡単に防ぐことができます。 XSSは、あなたが使用しているのTomcatのバージョンとは何の関係もありませんほとんどの場合、このことができます

希望、 チャーリー