¿Cómo evitar ataques XSS en WSO2 API Manager 3.2.0 Carbon?
¿Cómo resolver el problema de ataque XSS (inyección de “Alert”) en WSO2 API Manager 3.2.0 Carbon?
El script de solicitud es el siguiente:
GET /carbon/generic/list.jsp?region=region3&item=governance_list_api_menu&key=api&breadcrumb=APIs%26%2339%3b)%3balert(76174)%3b%2f%2f&singularLabel=API&pluralLabel=APIs HTTP/1.1
Host: xxx.xx.xx.xx:9443
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Cookie: region1_identity_menu=visible; menuPanel=visible; menuPanelType=main; JSESSIONID=55DB064DEF96C3060444A39F6A8412ED; requestedURI=../../carbon/admin/index.jsp; region1_configure_menu=none; region3_registry_menu=none; region4_monitor_menu=none; region5_tools_menu=none; current-breadcrumb=metadata_menu%252Clist_sub_menu%252Cgovernance_list_api_menu%2523
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Pragma: no-cache
Cache-Control: no-cache
Imagen 1: https://i.stack.imgur.com/B9LXJ.png
Imagen 2: https://i.stack.imgur.com/XWjv1.png
davy.ai
Para prevenir un ataque XSS en WSO2 API Manager 3.2.0 Carbon, puede implementar los siguientes pasos:
org.owasp.encoder.Encode
, que se puede utilizar para la codificación. Por ejemplo, para codificar la cadena “Alerta”, use el siguiente código:Mantener actualizado el WSO2 API Manager con las últimas correcciones de seguridad y parches de errores.
Siguiendo estos pasos, puede prevenir ataques XSS como la inyección de
"Alerta"
en el WSO2 API Manager.