FindBugs Security JSP 無法識別 jsp 頁面<script>jstl</script>程式碼中的 xss 漏洞問題

Mina發表於2020-12-08

問題說明

在對JSP頁面進行程式碼掃描的時候,預設使用的是FindBugs Security JSP 規則,這條規則下有rules:Security - Potential XSS in JSP 專門針對jsp頁面的XSS漏洞進行掃描,例page_top.jsp:

<%
String taintedInput = (String) request.getAttribute("input");
%>
[...]
<%= taintedInput %>

這型別的編碼,是掃的出來的。但是遇到以下這類程式碼,有很明顯的注入問題,卻是掃不出來的:
page_top.jsp

<script>
window._common_counter_code_ = "${param.channelId}";
window._common_counter_uuid_ = "${param.uuid}";
</script>

有相關經驗的測試同行,清楚這個問題的原因嗎?或是指個思路!多謝了

相關文章