Как мне искать во всех файлах .jsp определенные теги и атрибуты?

Question

Мы обнаружили проблемы XSS на нашем сайте. Моя работа состоит в том, чтобы теперь пройтись по всему исходному коду, чтобы найти, где это могло бы происходить.

Я ограничиваю поиск конкретной проблемой JSF. Но решение должно работать независимо от того, что я хочу искать.

По сути, я хочу список файлов JSF. Мне нужно получить список, который имеет этот критерий: поиск всех файлов * .jsp, которые имеют тег <h:outputText и с этим тегом, имеют атрибут escape и атрибут value, содержащий {{*

.

У меня пока нет доступа к статическому анализатору исходного кода на работе.

Есть идеи о том, как я мог бы сделать такой поиск?

Большинство моих поисков связаны с поиском регулярных выражений с помощью TextPad. Но я надеюсь, что, возможно, найдутся лучшие идеи о том, как подойти к этой проблеме.

Answer 1

Поиск по escape="false" в *.jsp. Этого должно быть достаточно. Чтобы исправить дыры в XSS, вы должны убедиться, что он не выводит управляемый пользователем ввод, а затем удалить атрибут escape="false". Если предполагается, что этот контролируемый пользователем ввод будет отображаться буквально как HTML, то сначала вы хотите очистить его от почтовых тегов. Смотри также этот ответ .