iT邦幫忙

0

ASP.net 只是匯出Excel 但檢測出XSS風險

excel xss asp.net checkmarx
fortify995 2021-11-15 14:08:361784 瀏覽

  • 分享至 

  • xImage

請問 只是匯出Excel 真的會有被攻擊的風險嗎?
可以不做修改嗎?
因為調整後匯出資料,有些符號都會被替換掉,但我不知道以後資料中還會出現哪些符號(例如人家的品項有寫大小 6x6 x就會被換成&#215),且調整下去如果是顯示百分比,原本100%都會變成顯示1.00000~~~~等等的。
https://ithelp.ithome.com.tw/upload/images/20211115/201432309sbGNaiSOz.jpg
https://ithelp.ithome.com.tw/upload/images/20211115/20143230P0Z4hXYmF4.jpg
https://ithelp.ithome.com.tw/upload/images/20211115/20143230sjH3tCg4f3.jpg

不好意思 忘記說我使用的編碼函數為: System.Web.HttpUtility.HtmlEncode()

Homura iT邦高手 1 級 ‧ 2021-11-15 14:51:43 檢舉
怎麼不貼出警告訊息和被檢測到的程式碼...
fortify995 iT邦新手 5 級 ‧ 2021-11-15 16:04:46 檢舉
貼了 不好意思
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

1
kawa0710
iT邦新手 2 級 ‧ 2021-11-16 09:22:52

試試看對資料用HTML編碼:
寫入資料DB時用
HttpUtility.HtmlEncode()
顯示資料時用
HttpUtility.HtmlDecode()

參考微軟HttpUtility.HtmlDecode 方法

fortify995 iT邦新手 5 級 ‧ 2021-11-16 10:19:43 檢舉

用了編碼後 資料出來就會有問題

登入發表回應
1
Samuel
iT邦好手 1 級 ‧ 2021-11-16 13:10:23

Hi "只是匯出Excel 真的會有被攻擊的風險嗎?"
他的潛在風險訊息是Stored XSS種類
所以問題點在於

他已經先
以你目前應用程式存取的DB當中已經有存入具有風險的任一script(JavaScript)為前提來判定了
所以要處理的是在於承接資料那端比方DataSet或DataTable

如果真覺得是誤判也可以把這類的取消掉的樣子

fortify995 iT邦新手 5 級 ‧ 2021-11-17 10:05:56 檢舉

請問 如果不是改承接資料的那端 只都改他輸出的地方也是可以嗎? 因為我都只改輸出的地方 不知道再去掃一次弱掃會不會過

Samuel iT邦好手 1 級 ‧ 2022-01-10 16:29:45 檢舉

不然可以嘗試將匯出excel共用功能寫成Class Library
然後採用dll添加進專案調用方式避免被checkmarx掃到

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙