1. 主页
  2. 支持
技术文章 - CS244377

Integrity webui (Integrity)中的有理 AppScan 检测到 XSS 漏洞

已修改: 19-Nov-2018   


注意:本文已使用机器翻译软件翻译,以方便非英语客户阅读。但翻译内容可能包含语法错误或不准确之处。请注意, PTC对本文所含信息的翻译准确性及使用后果不承担任何责任。请在 此处 查看本文的英文原始版本以便参考。有关机器翻译的更多详情,请单击 此处
感谢您告诉我们。我们将尽快审阅此译文。

适用于

  • PTC RV&S (formerly Integrity Lifecycle Manager) 2007 to 11.0

说明

  • 问题
    • Integrity webui 中的有理 AppScan 检测到 XSS 漏洞
    • 通过 RSA 扫描查找的跨站点脚本
    • URL http://<server>:<port>/JSON-RPC/im?jsessionid=<jsessionID>?mks.commandRunner=1<img%20src%3da%20onerror%3dalert('xss')> 由安全软件标记。
  • 要重现的步骤
    1. 键入以下 URL,其中包含用于 Integrity 10.9 服务器的警报函数并引发 GET 请求。
      • http:// <server>:<port> /JSON-RPC/im ?jsessionid=<jsessionID>?mks.commandRunner=1< img%20src%3da%20onerror%3dalert('xss')>
      • 示例: http://localhost: 7001/JSON-RPC/im; JSESSIONID = 56507E506A612986C1B6EF2BADDB34A2? Mks。 commandRunner = 3 < img% 20src% 3da% 20onerror% 3dalert (' xss ') >
    2. 因此,您可以看到警报对话框作为函数的结果。
  • 预期结果
Integrity 服务器不应允许通过引发 GET 请求来运行函数。
  • 解决 方案
    • 使 XSS Filters在浏览器中将阻止此漏洞
    • 在默认情况下,大多数现代浏览器都启用了此功能
    • Internet Explorer:
      1. 点击 然后 Tools Internet Options
      2. 选择 Security选项卡
      3. 选择 Internet Local Intranet (无论哪种适合于 Integrity 服务器连接)
      4. 选择Custom Level
      5. 找到 Enable XSS Filter 并确保它是Enabled
这是文章 244377 的 PDF 版本,可能已过期。最新版本 CS244377