Уязвимость веб-приложения для управления финансами Wallos связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Компенсирующие меры:
- очистка пользовательских данных: Убедитесь, что все данные, вводимые пользователем, тщательно обрабатываются для предотвращения угроз. Это включает в себя удаление или кодирование потенциально опасных символов (таких как <, >, ", ', и т.д.), которые могут быть восприняты как HTML или JavaScript.
- использование кодирования выходных данных: При отображении контента, созданного пользователем, следует кодировать любые данные, которые могут быть интерпретированы как HTML или JavaScript. Например, замените <на &lt;, >на &gt;и т. д.
- проверка и фильтрация входной информации: Проверяйте и фильтруйте входные данные в соответствии с ожидаемым форматом (например, адреса электронной почты, номера и т.д.) и убедитесь, что HTML или JavaScript не допускаются, если это не требуется.
- HTTPOnly и защищенные файлы cookie: Применяйте флаг HTTPOnly для файлов cookie, чтобы запретить JavaScript доступ к данным сеанса или файлам cookie напрямую.
| Балл | 6.4 — средняя опасность |