[研究]Fortify SCA報告 Header Manipulation
2021-12-06
Fortify SCA 報告 strContentDisposition 有 Header Manipulation 問題。
string fileName = "報告" + DataTime.Now.ToString("yyyy-MM-dd-hh-mm-ss");string strContentDisposition = String.Format("{0}; filename=\"{1}\"", "attachment", fileName);HttpContext.Current.Response.AppendHeader("Content-Disposition", strContentDisposition); |
包含未經驗證的資料,這些資料位於 HTTP 回應表頭。這會導致 Cache-Poisoning、Cross-Site Scripting、Cross-User Defacement、Page Hijacking、Cookie Manipulation 或 Open Redirect 之類的攻擊。
********************************************************************************
用下面方式,Fortify SCA就不會再報告有問題,但實際上,可能要依據實際情況去調修。
[研究][ASP.NET] 防 XSS 的 HtmlSanitizer ( HTML消毒劑)
https://shaurong.blogspot.com/2021/09/aspnet-xss-htmlsanitizer-html.html
(完)
相關
Software Security | Header Manipulation
https://vulncat.fortify.com/en/detail?id=desc.dataflow.java.header_manipulation
沒有留言:
張貼留言