代码拉取完成,页面将自动刷新
您好:
我是360代码卫士团队的工作人员,在我们的开源项目检测中发现inxedu中存在JSON注入漏洞,应用程序所解析的JSON文档或请求来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,攻击者可以插入一些元素做一些可以预测的操作,比如解析JSON失败,导致抛出异常,甚至可以导致XSS和动态解析代码。
com.inxedu.os.edu.controller.website.AdminWebsiteProfileController.java
将map转成json串时,map中的数据来源于request的请求参数,程序中未对该参数做处理,就直接存入map,攻击者可利用此缺陷攻击程序。
建议检查程序逻辑,是否对传入数据进行了合理安全校验,以避免产生JSON注入。
期待你的回复。