角色管理模块存在XXS跨站脚本攻击漏洞

hua_love2011

系统在测评过程中，角色管理模块被检测出存在‘XXS跨站脚本攻击漏洞’，请问如何解决？

jishuang

具体的检测信息发一下

hua_love2011

jishuang 发表于 2019-10-12 11:53
具体的检测信息发一下

我问了测评的人员，他说他们也没有具体的检测信息，只要提交表单不能包含特殊字符就行，我做了测试，组织管理添加信息时包含特殊字符是保存不了的，角色管理有特殊字符能保存。我也看了两个界面的代码，没找到过滤特殊字符的方法。

jishuang

具体什么特殊的字符？

hua_love2011

jishuang 发表于 2019-10-12 17:09
具体什么特殊的字符？

~！@#￥%……&*（）—+？_*&^%$!~《》<>，,.。{}【】[]|\`
这些

jishuang

/BIZ/SA/OPM/logic/code/dsrc/RoleProcedure.javaw文件中saveOPRole方法定义修改为下面的

1.         public static int saveOPRole(List<DataPermission> insertRange, List<DataPermission> deleteRange, List<DataPermission> updateRange, String concept, String dataModel, String fnModel, String readOnly, String notNull, Table table, List<String> parentIDs) {
   
2.                 if (table.size() == 1 && parentIDs != null) {
   
3.                        
   
4.                        
   
5.                         if (table.iterator(ModifyState.NEW).hasNext()) {
   
6.                                 Row row = table.iterator(ModifyState.NEW).next();
   
7.                                 Role role = RoleHelper.getRoleByRow(row);
   
8.                                 OpmUtils.checkOrgID(role.getId());
   
9.                                 OpmUtils.checkOrgCode(role.getCode());
   
10.                                 OpmUtils.checkOrgName(role.getName());
    
11.                                 RoleHelper.appendRole(role.getId(), role.getCode(),        role.getName(), role.getRoleKind(), role.getCatalog(), role.getExtValues(), parentIDs);
    
12.                                 return 1;
    
13.                         } else if (table.iterator(ModifyState.EDIT).hasNext()) {
    
14.                                 Row row = table.iterator(ModifyState.EDIT).next();
    
15.                                 Role role = RoleHelper.getRoleByRow(row);
    
16.                                 OpmUtils.checkOrgID(role.getId());
    
17.                                 OpmUtils.checkOrgCode(role.getCode());
    
18.                                 OpmUtils.checkOrgName(role.getName());
    
19.                                 RoleHelper.updateRole(role.getId(), role.getVersion(), role.getCode(), role.getName(), role.getRoleKind(), role.getCatalog(), role.getExtValues(), parentIDs);
    
20.                                 return 1;
    
21.                         }
    
22.                 }
    
23.                 throw new RuntimeException("不支持的操作！");
    
24.         }

复制代码

hua_love2011

jishuang 发表于 2019-10-14 09:45
/BIZ/SA/OPM/logic/code/dsrc/RoleProcedure.javaw文件中saveOPRole方法定义修改为下面的

限制特殊字符的问题已解决，我让测评的工程师再帮忙测一下，麻烦帖子暂时先别关，等他那边确定没问题了，我再回复测评结果，谢谢

hua_love2011

jishuang 发表于 2019-10-14 09:45
/BIZ/SA/OPM/logic/code/dsrc/RoleProcedure.javaw文件中saveOPRole方法定义修改为下面的

已确定测评通过了，麻烦请结贴，谢谢！