安全测试 Web 安全扫描报 Cross site scripting (content-sniffing) 问题,但实际后台校验住了,算是工具误报吗?

性能大白Blaine · 2022年04月09日 · 最后由 回复于 2022年04月15日 · 909 次阅读

Web 安全扫描报 Cross site scripting (content-sniffing) 问题,但实际后台校验住了,算是工具误报吗?

工具在 post 请求中的某个字段中插入了一段恶意脚本,但是响应回来时报:

ETURN_MSG":"处理失败!","USER_MSG":"处理失败!","DETAIL_MSG":"JSON parse error: Cannot deserialize value of type `java.lang.Integer` from String \"1'\"()&%<acx><ScRiPt >nbIq(9630)</ScRiPt>\": not a valid Integer value; nested exception is com.fasterxml.jackson.databind.exc.InvalidFormatException: Cannot deserialize value of type `java.lang.Integer` from String \"1'\"()&%<acx><ScRiPt >nbIq(9630)</ScRiPt>\": not a valid Integer value\n at [Source: (PushbackInputStream); line: 1, column: 57] (through reference chain:


我认为该结果表示已经被后台校验住了,应该不算是一个安全问题?

有懂安全测试的大佬吗?遇到这种问题的时候怎么去分析呢?

ps:有安全测试交流群能拉一下吗

共收到 6 条回复 时间 点赞
  1. 应该是工具误报,因为工具一般是靠判断 response 中是否有回显 script 标签内的内容,这刚好这里的后端把内容重新吐了回来
  2. 实际上也算是一个安全问题,如果线上环境也是这样的抛错,就相当于把服务器的敏感信息暴露出来(用了什么组件,详细报错信息),这些是不应该返回给用户的。

这样返回没问题,正常框架都是这么做的;
严格点,开发需要对这种代码层面的 Exception 堆栈进一步封装成可阅读内容,可以提一个级别低的漏洞缺陷:
漏洞名称:异常信息泄漏
漏洞描述:未自定义统一错误返回导致信息泄漏,抛出异常信息泄漏,错误详情信息泄漏
漏洞风险:后端接口服务在出现异常报错时,没有进行合适的包装便将所有信息返回给前端,通过抓包工具或者 Chrome 开发者工具可以查看这些异常信息,可能包含例如表结构,代码包名,业务逻辑等敏感信息,极大可能被黑客所利用。
漏洞修复建议:Java 后台对所有异常出错进行包装,返回合适友好的提示信息,禁止将异常中所有信息返回给前台。

请问下这是什么工具啊

徐汪成 回复

我太爱你了哥哥

fjqken 回复

AWVS

我这也想找个安全测试群,有推荐的不?

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册