मैं अपना एप्लिकेशन VERACODE टूल के साथ चलाता हूं लेकिन मुझे कुछ समस्याओं से जूझना पड़ रहा है।

जिन मुद्दों का मैं सामना कर रहा हूं उनमें से एक वेब पेज (बेसिक एक्सएसएस) (सीडब्ल्यूई आईडी 80) में स्क्रिप्ट-संबंधित एचटीएमएल टैग का अनुचित तटस्थकरण है।
यह मेरे आवेदन में कई स्क्रीन में होता है। निम्नलिखित विशेष पंक्ति में:

NewDivButton.Style["display"] = SearchParameters.NewDivButtonVisibility;

क्या किसी के पास इस मुद्दे को ठीक करने के बारे में कोई सुझाव है?

-2
Manikandan 28 सितंबर 2020, 15:31

1 उत्तर

सबसे बढ़िया उत्तर

मणिकंदन का स्वागत है। इस प्रश्न के सर्वोत्तम उत्तर में उस भाषा/ढांचे का ज्ञान शामिल होगा जिसका आप उपयोग कर रहे हैं यदि आप इसे साझा कर सकते हैं?

ध्यान देने वाली एक बात यह है कि ऐसी कई चीजें हैं जो आप कर सकते हैं जिससे चेतावनी "दूर हो जाएगी", लेकिन आपके ऐप को और सुरक्षित नहीं बनाएगी। इस कारण से, समस्या के मूल को समझना सबसे अच्छा है, और फिर आप जिस भाषा/ढांचे में काम कर रहे हैं, उसके लिए मानक सुधार लागू करें। यदि संदेह है, तो सुरक्षा पेशेवर से संपर्क करें।

सामान्य तौर पर, एक्सएसएस उन मुद्दों का एक समूह है जहां आप (संभावित रूप से) अपने आउटपुट के हिस्से के रूप में उपयोगकर्ता इनपुट प्रस्तुत करते हैं। इस उदाहरण में यदि मैं आपको एक लिंक भेजता हूं जो कहता है कि yoursite.com?NewDivButtonVisibility=">SendYourPrivateInfoSomewhereBad(); यदि आप इस तरह के लिंक पर क्लिक करते हैं, और साइट आँख बंद करके स्क्रिप्ट को पृष्ठ में सम्मिलित करती है, तो यह डेटा चुरा सकती है। सर्वोत्तम सुरक्षा अक्सर इनपुट को मान्य करने के लिए होता है, केवल ज्ञात-वैध इनपुट के माध्यम से अनुमति देता है। एक और आम तरीका एचटीएमएल-एन्कोड करने के लिए अज्ञात मूल्य प्रदर्शित किया जा रहा है। हालांकि, जहां आउटपुट प्रदान किया जाता है, उसके आधार पर अधिक देखभाल की आवश्यकता होती है (उदाहरण के लिए यदि पहले से ही एक स्क्रिप्ट टैग के भीतर)

इस प्रकार की समस्या के बारे में अधिक सामान्य जानकारी यहाँ दी गई है: ">https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html#cross-site-scripting-prevention-cheat-sheet

0
Graham 28 सितंबर 2020, 13:00