[J2EE] Cross site script
請教各位前輩一個 Cross site script 問題
公司導入 Taas、Web Inspect 之類的弱點掃描工具
其中有一個檢查項目是 Cross site scripting
傳入類似http://xxxxx/abc.ation?key=en_US_951626%2527%2528%2529%253A%253B993716
我有寫一個filter 去將一些特殊字元做取代<、>、& 之類的
但是不知道為什麼其中有一套軟體會回報有 Cross site scripting 問題
不知道有沒有前輩有類似的經驗
1.我的問題是 這個解碼之後類似 951626'():993716 這樣的東西,這個有什麼作用?
2.掃描系統送過來的request,我的filter有處理一些轉換,掃描軟體要怎麼判斷是不是
有 Cross site scripting問題?
謝謝!
Request:
GET
/xxx.action?request_locale=en_US_951626%2527%2528%2529%253A%253B993716&account=4111111111111111&password=g00dPa%2524%2524w0rD
HTTP/1.1
Referer: http://xxxx:8080
Cookie: JSESSIONID=974F73F6D29D4E5C7E335FA7EB928B4B;
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64;
Trident/5.0)
Accept: */*
Host: xxx:8443
Response
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
P3P: CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'
Content-Type: text/html;charset=UTF-8
Content-Length: 14231
Date: Wed, 26 Feb 2014 03:52:09 GMT
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.161.46.122