那些遇到过的问题

客户端跨框架脚本攻击解决方案

Tus*_*har 3 java security xss jsp client-side-attacks

我们开发了一个新的应用程序,在移动更改之前,我们使用checkmarx进行了代码的静态扫描.在名为Client Cross Frame Scripting Attack的代码中可以找到中等级别的漏洞.

这在JSP页面的第一行被删除:

<!DOCTYPE html>
Run Code Online (Sandbox Code Playgroud)

你能帮助我理解这次攻击吗?应该采取什么措施来消除这种攻击?

ada*_*dar 5

客户端跨站脚本攻击查询发现,如果页面保护自己防止被嵌入一个IFrame.它搜索以下条件:

 if (top != self)
 if (top.location != location)
 if (top.frames.length != 0)
Run Code Online (Sandbox Code Playgroud)

等等.

我相信这个特定的文件没有这样的条件,所以它最不能保护自己,这就是查询找到并标记它的原因.由于我们在这里寻找缺失的行,结果只显示文件,并且无法显示问题所在.

希望能帮助到你,

来自Checkmarx的 Adar .

归档时间:

查看次数:

12584 次

最近记录:

8 年,10 月 前
相关归档
如何在Mac OS X上安装特定的JDK? 196
JVM标志CMSClassUnloadingEnabled实际上做了什么? 182
在javascript变量中保存密码 - 安全隐患? 11
如何在jsp页面加载时调用servlet 9
防止XSS漏洞的措施(比如几天前Twitter的漏洞) 6
Openssl ECDSA:私钥密码 4
EVENTVALIDATION字段可以被篡改吗? 3
Nodemailer - 无法获取本地颁发者证书 3
客户端策略文件的RMI使用情况 2
JSP 导入文件 1
难疑归档
基于表单的网站身份验证的权威指南 5311
如何用JavaScript更改元素的类? 2650
在字典中添加新密钥? 2427
何时在CSS中使用margin和padding 2277
什么是JSONP,为什么创建它? 2040
如何从Bash脚本检查程序是否存在? 2032
在JavaScript中生成特定范围内的随机整数? 1836
如何显示JavaScript对象? 1520
你如何在YAML中阻止评论? 1272
"正确"的JSON日期格式 1071