Checkmarx | 用了 DOMPurify.sanitize Checkmarx 還是噴 Client DOM XSS/Client DOM Stored XSS?

問題

程式中用了 DOMPurify.sanitize 來處理 XSS ,結果 Checkmarx 還是會噴 Client DOM XSS 或是 Client DOM Stored XSS 的問題,怎麼辦?

解法

請確認 Checkmarx 是否在 Checkmarx V9.4.5 HF16

在 Checkmarx V9.4.5 HF16 後,原本使用DOMPurify.sanitize的程式碼,
會被掃出有 Client DOM Stored XSS or Client DOM XSS 的 Issue。例如,

1
2
3
4
var x = DOMPurify.sanitize(window.location.search);
var d = document.createElement("div");
d.innerHTML = x;
document.body.appendChild(d);

那是因為 Checkmarx V9.4.5 HF16 有特別針對 DOMPurify.sanitize 來判斷,
如果使用 DOMPurify.sanitize ,程式碼中一定要有 requireDOMpurify
不過,在一般直接引用 dist/purify.min.js ,並不會用到 require 去載 purify.js 。
如果是這種狀況,檢視程式碼,確定有引用 DOMPurify,並使用 DOMPurify.sanitize 消毒,則建議設定為 不可利用

如果客戶不接受說明,只能接受在 Checkmarx 報告中,沒有任何的 Issue 出現,怎麼辦?
那只好做個假的出來讓 Checkmarx 覺得它在,如下,

1
2
3
4
5
6
7
//以下是讓  Checkmarx V9.4.5 HF16 針對 DOMPurify.sanitize 可以 Pass 的 JS Code
function require(val) {
  if (val === "dompurify") return window.DOMPurify;
  else return {};
}
const createDOMPurify = require("dompurify");
createDOMPurify(window);

參考資源

Checkmarx Client_Heuristic_Poor_XSS_Validation
Client_DOM_XSS/Client DOM Stored XSS - Checkmarx V9.4.5 HF16

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw