Checkmarx | Stream ToArray Read 會被掃出 Stored XSS

問題

最近同事詢問為什麼程式中的Stream.ToArray(), Stream.Read會被 Checkmarx 判斷有Stored XSS的問題呢?
Checkmarx 版本為V9.5.5.1007 HF14

解法

Checkmarx 描述為,
Stream.Read

使用 Read 生成輸出,但未經過適當的消毒或編碼就將不可信資料嵌入生成的輸出中,這使得攻擊者能夠注入惡意程式碼到生成的網頁中。

Stream.ToArray()

使用 ToArray 生成輸出,但未經過適當的消毒或編碼就將不可信資料嵌入生成的輸出中,這使得攻擊者能夠注入惡意程式碼到生成的網頁中。

看 Checkmarx Rule ,如果輸出為 File 可以加入X-Content-Type-OptionsHeader , 值為nosniff 來避免 XSS。
但加入後,問題還是存在,應該是 Checkmarx 的 Bug 吧~
透過 Jer 測試後發現,在 CheckmarxV9.6就不會有這問題~~
所以目前的解法可以請原廠拿V9.6的 C# Stored XSS Rule 匯到V9.5中。
或是改做法來避開,
Stream.ToArray() 就改用 BinaryReader 如下,

1
2
3
4
5
6
7
//byte[] fileContent = stream.ToArray();
byte[] fileContent = null;
using (var binaryReader = new BinaryReader(stream))
{
    stream.Position = 0;
    fileContent =  binaryReader.ReadBytes((int)stream.Length);
}

Stream.Read 就改用StreamReader,例如

1
2
3
4
5
using (var reader = new StreamReader(stream, Encoding.UTF8, leaveOpen: true))
{
    string requestBody = await reader.ReadToEndAsync();
    return requestBody;
}

註: X-Content-Type-Options設為nosniff可避免MIME 嗅探(MIME sniffing)
為什麼MIME 嗅探(MIME sniffing)會有 XSS 問題呢?
例如,如果原本Content-Type設定為text/plain,但裡面包含HTML, JavaScript
Browser 可能會把它當成是 HTML 來執行,就有可能會執行JavaScript,而產生XSS問題。

參考資源

X-Content-Type-Options

一把粉抹在後頭窩: 喻人顧後不顧前,不要臉面。

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw