程式與日常
客戶都是用這套Checkmarx來掃程式碼漏洞,大部分弱點都是來自於JSP頁面與Controller間傳遞參數時的XSS的潛在漏洞。
通常JSP的部分用JSTL的<c:out value="${ ... }"/>來處理就可解決了,主要就是要濾掉變數中的HTML(XML)的特殊符號例如<,>,&,'及"。
<c:out value="${ ... }"/>
<
>
&
'
"
不過總覺得這個檢查蠻智障的。
沒有留言:
張貼留言