ESAPI 编码器规范更改查询参数

Question

我的一个 REST API 有一个名为“partners”的查询参数，它是一个整数列表，因此您可以在 URL 中指定多个值。作为 XSS 攻击的预防措施，我使用 ESAPI 去除输入中的恶意内容。问题来了：

我注意到 ESAPI 编码器 cannonicalize 方法（它使用默认编解码器：HTMLEntityCodec、PercentCodec、JavaScriptCodec）更改了查询参数值，因为它认为 &p 或 &pa 是某种编码。请参阅下面的示例

类似

http://localhost:8080/product?partner=1

按预期工作。

另一方面，像

http://localhost:8080/product/?pidentity=1&pidentity=2

规范化后的输入变成

   `pidentity=1πdentity=2`

框架认为这只是一个带有 2 个拆分器的查询参数，因此无法解析。

如果请求的url是这样的

http://localhost:8080/product?partner=1&partner=2

规范化后的输入变成

partner=1∂rtner=2

&pa 变成了 '∂'。

您可能已经猜到了，我尝试更改查询参数的名称并且效果很好（可能是因为没有任何相应的编码）。有没有人见过，或者可以指导我是什么导致了这种行为？这听起来像是我的经验不足，但为了确保防止 XSS 攻击，我不确定是否应该尝试从默认编码器中删除任何编解码器。

Answer 1

您当前使用的方法是我们目前所说的“大锤”方法，在这种方法中，您尝试对整个 URL 进行编码，而不是对由不受信任的来源（即用户）

最好的方法是单独编码每个参数的值，而不是尝试将整个参数字符串编码为单个数据。输出编码的主要目的是消除用户使用他们提供的数据将“数据”上下文分解为“控制”上下文的可能性。

在您的示例中，字符串 partner=1&partner=2 在解析器中看起来像这样

partner=1&partner=2

（其中粗体是控件，斜体是数据）- 您只想对字符串的 data 上下文进行编码，因为不受信任的源不提供 control 上下文.

如果用户是您提供的数据1&partner=2，您的编码字符串应如下所示

partner=1%26partner=2&partner=2

这里的另一个重要注意事项是，规范化用于将给定的字符串简化为最基本的格式 - 因此所提供字符串中的所有编码都将被解码，因此无法执行双重和混合编码攻击。

对您的问题的简短回答是单独编码参数的值，而不是编码整个 URL 参数字符串。

参考文献：

• https://www.owasp.org/index.php/Double_Encoding
• https://www.owasp.org/index.php/Mixed_encoding
• https://www.owasp.org/index.php/Category:Encoding