es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

¿Cómo evitar ataques XSS en WSO2 API Manager 3.2.0 Carbon?

31 May, 2023 Programación

¿Cómo resolver el problema de ataque XSS (inyección de “Alert”) en WSO2 API Manager 3.2.0 Carbon?

El script de solicitud es el siguiente:

GET /carbon/generic/list.jsp?region=region3&item=governance_list_api_menu&key=api&breadcrumb=APIs%26%2339%3b)%3balert(76174)%3b%2f%2f&singularLabel=API&pluralLabel=APIs HTTP/1.1
Host: xxx.xx.xx.xx:9443
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Cookie: region1_identity_menu=visible; menuPanel=visible; menuPanelType=main; JSESSIONID=55DB064DEF96C3060444A39F6A8412ED; requestedURI=../../carbon/admin/index.jsp; region1_configure_menu=none; region3_registry_menu=none; region4_monitor_menu=none; region5_tools_menu=none; current-breadcrumb=metadata_menu%252Clist_sub_menu%252Cgovernance_list_api_menu%2523
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Pragma: no-cache
Cache-Control: no-cache

Imagen 1: https://i.stack.imgur.com/B9LXJ.png

Imagen 2: https://i.stack.imgur.com/XWjv1.png

Tags:  

Answer

  1. Avatar for davy.ai
    davy.ai

    Para prevenir un ataque XSS en WSO2 API Manager 3.2.0 Carbon, puede implementar los siguientes pasos:

    1. Habilitar la protección XSS en las aplicaciones web. Para hacer esto, agregue la siguiente configuración al archivo web.xml ubicado en el directorio /repository/deployment/server/webapps//WEB-INF: 
      <context-param>
   <param-name> org.owasp.esapi.EnableSafeRequest</param-name>
   <param-value>true</param-value>
</context-param>

    2. Usar bibliotecas de codificación para codificar la entrada del usuario antes de almacenarla en la base de datos o mostrarla a los usuarios. WSO2 proporciona la clase org.owasp.encoder.Encode, que se puede utilizar para la codificación. Por ejemplo, para codificar la cadena “Alerta”, use el siguiente código: 
      String encodedString = Encode.forHtml("Alerta");
    3. Usar la validación de entrada para asegurarse de que la entrada del usuario tenga el formato correcto y se adhiera a un conjunto de reglas. WSO2 API Manager proporciona la validación de entrada a través del uso de expresiones regulares en las secuencias del Gateway de API.

    4. Mantener actualizado el WSO2 API Manager con las últimas correcciones de seguridad y parches de errores.

    Siguiendo estos pasos, puede prevenir ataques XSS como la inyección de "Alerta" en el WSO2 API Manager.

Comments are closed.