我们的 Qualys 报告中报告的安全漏洞很少,该报告说可以使用以下 url 注入命令。
/adc/Acc?sort=popular%26q=%3Apopular%3Aall%3A~WATCHES%26show=ping%20-c2%20-i91%20localhost
在这里,安全团队成功地注入了 ping 命令,但他们说他们可以很容易地注入更有害的命令。
我可以添加一个 xss 过滤器模式来删除其中包含“ping”的任何单词,但这不会阻止其他命令的运行,并且客户将无法使用包含“ping”的搜索词。
春天有没有更清洁和推荐的方法来解决这个问题?