我正在修复模块的代码审核报告的问题。问题是XSS漏洞。它报告了语法问题response.getOutputStream().write(buffer);如何解决?我已经做了足够的家庭作业,发现OWASP推荐的ESAPI可以帮助我修复它,但是如何实现它呢?问题出在 servlet 类中?或任何其他 API 或其他任何东西可以帮助我修复它?请分享您的相关经验。
FileOutputStream fos = null;
FileInputStream fileInuptStream =null;
BufferedInputStream bufferedInputStream = null;
ByteArrayOutputStream byteArrayOutputStream =null;
try{
ServletContext servletContext = request.getSession().getServletContext();
File attachmentDir = new File(servletContext.getRealPath("")+File.separator+"Reports" );
String uploadDir=attachmentDir.getPath();
if (!attachmentDir.exists()) {
attachmentDir.mkdirs();
}
HSSFWorkbook wb= new HSSFWorkbook();
AAAA aaa=new AAAA();
wb=aaa.getExportXLS(request, response, fileName, wb);
if(request.getSession().getAttribute("SESSION_AAAAA")!=null){
request.getSession().removeAttribute("SESSION_AAAAA");
}
fos=new FileOutputStream(uploadDir+File.separator+fileName);
wb.write(fos);
File fileXls=new File(uploadDir+File.separator+fileName);
fileInuptStream = new FileInputStream(fileXls);
bufferedInputStream = new BufferedInputStream(fileInuptStream);
byteArrayOutputStream = new ByteArrayOutputStream();
int start = INT_ZERO;
int length = ONE_ZERO_TWO_FOUR;
int offset = MINUS_ONE;
byte [] buffer = new byte [length];
while ((offset = bufferedInputStream.read(buffer, start, length)) != -1)
byteArrayOutputStream.write(buffer, start, offset);
buffer = byteArrayOutputStream.toByteArray();
response.setHeader("Expires", "0");
response.setHeader("Cache-Control", "must-revalidate, post-check=0, pre-check=0");
response.setHeader("Pragma", "public");
response.setContentType("application/xls");
response.setHeader("Content-disposition","attachment; filename="+fileName );
response.setContentLength((int ) fileXls.length());
response.getOutputStream().write(buffer); --- REPORTED AT THIS LINE
response.getOutputStream().flush();
错误的警告。此 servlet 返回由 Apache POI 创建的 XLS 文件,而不是 HTML 文档。不可能有XSS攻击的手段。
然而,这段代码相当笨拙和低效。它在扩展的 WAR 文件夹中创建一个文件(当重新部署 WAR 时无论如何都会丢失),然后将其整个内容完全复制到服务器的内存中,而不是直接写入响应。可能这种笨拙的方法混淆了审计工具。您应该只是将HttpServletResponse#getOutputStream()
传递给Workbook#write()
。
以下是基于到目前为止发布的代码的完整重写:
HSSFWorkbook wb = new HSSFWorkbook();
AAAA aaa = new AAAA();
wb = aaa.getExportXLS(request, response, fileName, wb);
response.setHeader("Expires", "0");
response.setHeader("Cache-Control", "must-revalidate, post-check=0, pre-check=0");
response.setHeader("Pragma", "public");
response.setContentType("application/xls");
response.setHeader("Content-disposition", "attachment; filename=" + fileName);
wb.write(response.getOutputStream());
需要验证输入和输出,因为请求直接作为方法中的输入。 使用 ESAPI 使用 ESAPI 中的 getValidatedFileContent() 验证缓冲区字段。 验证文件名注入攻击的文件名字段。此外,任何从具有请求作为输入的方法的输出的文件都应严格验证。