У нас есть несколько дыр в безопасности, о которых сообщается в нашем отчете Qualys, в котором говорится, что команды могут быть введены с использованием URL, как показано ниже.
/adc/Acc?sort=popular%26q=%3Apopular%3Aall%3A~WATCHES%26show=ping%20-c2%20-i91%20localhost
Здесь команда безопасности успешно смогла ввести команду ping, но они говорят чтобы они могли так же легко ввести более вредную команду.
Я могу добавить шаблон фильтра xss, чтобы удалить любое слово с «ping», но это не помешает запуску других команд, и клиенты не смогут использовать поисковое слово, содержащее «ping».
Есть ли более чистый и рекомендуемый подход, чтобы исправить это весной?