奇安信扫描文件下载功能的存储型XSS漏洞修复

我不是女神ヾ 2024-02-18 11:44 50阅读 0赞

### 一、业务描述 ###

项目有个文件下载的功能，是从数据库读取文件路径，再根据路径获取本地的文件流响应给浏览器进行下载，当然是随手一个复制粘贴，然后就被扫描出了存储型XSS漏洞。  
![在这里插入图片描述][548b6cc60fbb48ccb6b0219f0358fa3a.png]  
怎么看都很正常就是过不了扫描，搜了一些歪门邪道的方法都没用，差点就把每个字节数组拿出来过滤过滤了。  
![在这里插入图片描述][1c9396e9e5ab462f85fd73b6bfdf904c.png]

### 二、解决方法 ###

我用的是org.apache.poi下的一个工具包，org.apache.commons下好像也有，属于瞎猫碰到死耗子，希望对你有帮助。  
![在这里插入图片描述][ed723d8f3cff4c3c8771690df778142e.png]  
不想导这个包的话，这是它的实现，内网电脑不方便复制，搜一下应该有类似的方法。  
![在这里插入图片描述][04da505d61694b97bdd74f20a229b88d.png]  
![在这里插入图片描述][1f227c2ae6e14920a1c0408feb9e1e95.png]

[548b6cc60fbb48ccb6b0219f0358fa3a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/18/1f1d19da64b241f18c224661d144b2db.png
[1c9396e9e5ab462f85fd73b6bfdf904c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/18/06bc6ce3c44343469eb175e6b79fc887.png
[ed723d8f3cff4c3c8771690df778142e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/18/47240627a1ee4f77ac7c282f606fcc38.png
[04da505d61694b97bdd74f20a229b88d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/18/201a191d87ba486f884904317a1d1c28.png
[1f227c2ae6e14920a1c0408feb9e1e95.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/18/30d020d38e4d4b298019d10fef8cb4be.png

发表评论取消回复

表情：

评论列表（有 0 条评论，50人围观）

还没有评论，来说两句吧...

相关阅读

相关 Oracle数据库安全漏洞扫描与修复案例分享

在Oracle数据库的安全漏洞扫描和修复过程中，通常会遵循以下几个步骤： 1. **系统评估**：首先需要对数据库的版本、配置等进行详细评估。这一步可能使用一些工具如IDC

分手后的思念是犯贱/ 2024年12月24日 14:30/ 0 赞/ 19 阅读

相关奇安信笔试编程题

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1JleF...

「爱情、让人受尽委屈。」/ 2024年04月18日 17:02/ 0 赞/ 84 阅读

相关 java文件下载漏洞修复方法

一、问题最近安全测试说文件下载接口有漏洞，说是路径是前端传来的，可能会这样：应用程序对用户可控制的输入未经合理校验，就传送给一个文件API。攻击者可能会使用

偏执的太偏执、/ 2024年02月18日 13:52/ 0 赞/ 41 阅读

相关奇安信扫描文件下载功能的存储型XSS漏洞修复

一、业务描述项目有个文件下载的功能，是从数据库读取文件路径，再根据路径获取本地的文件流响应给浏览器进行下载，当然是随手一个复制粘贴，然后就被扫描出了存储型XSS漏洞。

我不是女神ヾ/ 2024年02月18日 11:44/ 0 赞/ 51 阅读

相关漏洞：反射型 XSS 攻击

什么是反射型 XSS 攻击？反射型 XSS 是指应用程序通过 Web 请求获取不可信赖的数据，并在未检验数据是否存在恶意代码的情况下，将其发送给用户。反射型 XSS 一

小咪咪/ 2022年10月23日 08:01/ 0 赞/ 202 阅读

相关漏洞扫描

APP漏洞扫描器之未使用地址空间随机化阿里聚漏洞扫描器有一个检测项叫未使用地址空间随机化技术, 本文主要介绍该项技术的原理和扫描器的检测方法。 APP漏洞扫描

忘是亡心i/ 2022年07月14日 12:53/ 0 赞/ 381 阅读

相关 Redis 未授权访问漏洞【原理扫描】修复方法

漏洞类型主机漏洞漏洞名称/检查项 Redis 配置不当可直接导致服务器被控制【原理扫描】漏洞名称/检查项 Redis 未授权访问漏洞【原理扫描】加固建议

本是古典何须时尚/ 2022年05月30日 12:08/ 0 赞/ 1296 阅读

相关微信支付XXE漏洞修复

1.场景还原近日，微信发来警告通知，告知平台微信支付可能存在XXE(外部实体注入漏洞)，笔者根据微信官方技术文档及时修复了该漏洞，分享出来希望能够对大伙有所帮助

小灰灰/ 2022年05月21日 10:56/ 0 赞/ 281 阅读

相关 XSS攻击漏洞修复 java

<filter-name>XssSqlFilter</filter-name> <filter-class>com.hzlh.filter.XssFil

偏执的太偏执、/ 2022年04月03日 06:47/ 0 赞/ 385 阅读

相关 xss漏洞修复思路

public static String htmlSecurityEscape(String str) { if (str == null) {

逃离我推掉我的手/ 2022年03月12日 19:12/ 0 赞/ 192 阅读