IBMAppScan-Java反序列化代码执行-JSF2.2&;Primefaces-JBOSS 7.2 EAP
原始邮政 我们最近收到了来自IBMAppScanDast的结果,其中一些结果没有多大意义 Java反序列化代码执行IBMAppScan-Java反序列化代码执行-JSF2.2&;Primefaces-JBOSS 7.2 EAP,primefaces,jsf-2.2,Primefaces,Jsf 2.2,原始邮政 我们最近收到了来自IBMAppScanDast的结果,其中一些结果没有多大意义 Java反序列化代码执行 Parameter: **javax.faces.ViewState** Risk(s): It is possible to run remote commands on the web server. This usually means complete compromise of the server and its contents The following chan
Parameter: **javax.faces.ViewState**
Risk(s): It is possible to run remote commands on the web server. This usually means complete compromise of the server and its
contents
The following changes were applied to the original request:
Set the value of the parameter 'javax.faces.ViewState' to XXX
POST /**/processitem.xhtml HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Win32)
Connection: keep-alive
Faces-Request: partial/ajax
X-Requested-With: XMLHttpRequest
Accept: application/xml, text/xml, */*; q=0.01
Accept-Language: en-US,en;q=0.9
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
javax.faces.partial.ajax=true&javax.faces.source=j_idt22%3Aj_idt23&javax.faces.partial.execute=%40all&javax.faces.partial.render=unreadCountForm&j_idt22%3Aj_idt23=j_idt22%3Aj_idt23&j_idt22=j_idt22
&
寻找反馈和一些见解。最有可能的请求是ajax请求,如果出现异常,它将不会返回HTTP状态代码500,而是200,因此工具变得混乱。100%的人同意我们的应用程序已经由第三方公司进行了专业渗透测试,当他们触摸ViewState时,他们无法执行任何操作,因此他们会给我们高分,因为有CRSF代币。这又一次是来自自动化工具的胡说八道的报告。@BalusC我已经更新了,它确实是ajax请求。那肯定是误报。有一些变通方法,但对于真正的用户来说,这些方法最终会带来更糟糕的体验。@BalusC:看来这证明了您的另一个有效且简单的答案是正确的;-)最有可能的请求是ajax请求,如果出现异常,它不会返回HTTP状态代码500,而是200,因此该工具变得混乱。100%的人同意我们的应用程序已经由第三方公司进行了专业渗透测试,并且每当他们触摸ViewState时,他们都不能做任何事情,因此他们会给我们打高分,因为我们在其中使用了CRSF令牌地点。这又一次是来自自动化工具的胡说八道的报告。@BalusC我已经更新了,它确实是ajax请求。那肯定是误报。有一些变通方法,但对于真正的用户来说,这些方法最终会带来更糟糕的体验。@BalusC:看来这证明了您的另一个有效且简单的答案是正确的;-)