安全测试 Web 安全扫描报 Cross site scripting (content-sniffing) 问题,但实际后台校验住了,算是工具误报吗?
Web 安全扫描报 Cross site scripting (content-sniffing) 问题,但实际后台校验住了,算是工具误报吗?
工具在 post 请求中的某个字段中插入了一段恶意脚本,但是响应回来时报:
ETURN_MSG":"处理失败!","USER_MSG":"处理失败!","DETAIL_MSG":"JSON parse error: Cannot deserialize value of type `java.lang.Integer` from String \"1'\"()&%<acx><ScRiPt >nbIq(9630)</ScRiPt>\": not a valid Integer value; nested exception is com.fasterxml.jackson.databind.exc.InvalidFormatException: Cannot deserialize value of type `java.lang.Integer` from String \"1'\"()&%<acx><ScRiPt >nbIq(9630)</ScRiPt>\": not a valid Integer value\n at [Source: (PushbackInputStream); line: 1, column: 57] (through reference chain:
我认为该结果表示已经被后台校验住了,应该不算是一个安全问题?
有懂安全测试的大佬吗?遇到这种问题的时候怎么去分析呢?
ps:有安全测试交流群能拉一下吗
- 应该是工具误报,因为工具一般是靠判断 response 中是否有回显 script 标签内的内容,这刚好这里的后端把内容重新吐了回来
- 实际上也算是一个安全问题,如果线上环境也是这样的抛错,就相当于把服务器的敏感信息暴露出来(用了什么组件,详细报错信息),这些是不应该返回给用户的。
这样返回没问题,正常框架都是这么做的;
严格点,开发需要对这种代码层面的 Exception 堆栈进一步封装成可阅读内容,可以提一个级别低的漏洞缺陷:
漏洞名称:异常信息泄漏
漏洞描述:未自定义统一错误返回导致信息泄漏,抛出异常信息泄漏,错误详情信息泄漏
漏洞风险:后端接口服务在出现异常报错时,没有进行合适的包装便将所有信息返回给前端,通过抓包工具或者 Chrome 开发者工具可以查看这些异常信息,可能包含例如表结构,代码包名,业务逻辑等敏感信息,极大可能被黑客所利用。
漏洞修复建议:Java 后台对所有异常出错进行包装,返回合适友好的提示信息,禁止将异常中所有信息返回给前台。
请问下这是什么工具啊
我这也想找个安全测试群,有推荐的不?