问题描述
在 Checkmarx 扫描中,我收到易受攻击的异常,
获取dr 元素 的用户输入。这个元素的值然后流经代码而没有经过适当的清理或验证,最终在方法中显示给用户
List<survey_bene> surveybenelist = new List<survey_bene>();
cmd = new sqlCommand("SELECT ResondantCode FROM Respondant");
DataTable dtdetails = vdm.SelectQuery(cmd).Tables[0];
if (dtdetails.Rows.Count > 0)
{
foreach (DaTarow dr in dtdetails.Rows)
{
survey_bene survey = new survey_bene();
survey.resondantcode = dr["ResondantCode"].ToString();
surveybenelist.Add(survey);
}
}
解决方法
我在评论中的问题没有得到确切回答,但我假设这是一个 XSS 漏洞。如果不是,那么我会相应地更新我的答案。
基于此假设,您应该从 HtmlEncode 或 HtmlServerUtility 类调用 HttpUtility 函数:
List<survey_bene> surveybenelist = new List<survey_bene>();
cmd = new SqlCommand("SELECT ResondantCode FROM Respondant");
DataTable dtdetails = vdm.SelectQuery(cmd).Tables[0];
if (dtdetails.Rows.Count > 0)
{
foreach (DataRow dr in dtdetails.Rows)
{
survey_bene survey = new survey_bene();
survey.resondantcode = HttpUtility.HtmlEncode(dr["ResondantCode"].ToString());
surveybenelist.Add(survey);
}
}