XSS持久性漏洞

2012-10-05 130 views 1 likes

Fortify扫描器/分析器建议数据库输出在下面的代码中标记为XSS持久性漏洞。它甚至没有外部参数或连接！任何建议？XSS持久性漏洞

在此先感谢

public List<String> getExtensions() { 
    return jdbcTemplate.query(
     "SELECT ext FROM document_type GROUP BY ext", 
     new RowMapper<String>() { 
      public String mapRow(ResultSet results, int rowNum) throws SQLException { 
       return results.getString(1);      
      } 
     } 
    ); 
}

来源

2012-10-05 user1366399

回答

你确定你是不是误解的结果？这可能是加载XSS（由其他SQL存储）的地方，但实际的XSS发生在将数据放入网页的位置。

来源

2012-10-06 08:07:07 Erlend

我的印象是，XSS持久性通常来自DB，而XSS反射则来自Web界面。你是对的，实现getExtensions（）的方法最终将未经验证的输出放到网络中。序列是query_return（） - > getExt_return（） - > web界面，query_return（）由Fortify分析器标记为db输出受污染的原点。谢谢 – user1366399

XSS持久性漏洞

回答

相关问题