У меня есть приложение, которое выполняется под Tomcat 7, разработанное с помощью Struts (Java Web Framework).Мое приложение содержит уязвимость безопасности (межсайтовый скриптинг в XSS).
Что это за уязвимость XSS?
- Постоянная (или сохраненная)
Как это вводится и каков контекст?
- Введите значение в текстовое поле
ЧтоИспользуете ли вы фреймворки Java?
XSS выполняется HTML-кодом, который был введен третьей стороной и выполняется приложением,В следующем примере показана уязвимость:
Форма с кнопкой отправки
Сценарий выполнен
Вот код JSP-страницывходных данных:
<td>Descripción</td>
<td><html:text name="grupo" maxlength="50" property="description" size="30" alt="Descripción" /></td>
Вот страница просмотра кода JSP и отправьте:
<tr>
<td>Descripción</td>
<td><jsp:getProperty name="grupo" property="description"/></td>