1

Fortifyスキャナー/プロファイラーは、db出力が汚染されていることを示唆しており、以下のコードでXSS永続的な脆弱性を示しています。外部パラメータや連結さえありません!なにか提案を?

前もって感謝します

public List<String> getExtensions() {
    return jdbcTemplate.query(
        "SELECT ext FROM document_type GROUP BY ext",
        new RowMapper<String>() {
            public String mapRow(ResultSet results, int rowNum) throws SQLException {
                return results.getString(1);                    
            }
        }
    );
}
4

1 に答える 1

0

結果を誤解していないと思いますか?これはおそらくXSS(他のSQLによって格納されている)がロードされる場所ですが、実際のXSSは、データがWebページに配置される場所で発生します。

于 2012-10-06T08:07:07.253 に答える