その他 > その他 > 脆弱性「マイページのお届け先情報入力ページでのXSS」について |
その他
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
popo |
投稿日時: 2009/7/28 19:13
対応状況: −−−
|
長老 登録日: 2008/10/1 居住地: 投稿: 189 |
脆弱性「マイページのお届け先情報入力ページでのXSS」について 正式版2.3.0を利用しています。
セキュリティホールの対応をしようと思い、下記のページを参照して1つずつ修正していました。 http://www.ec-cube.net/info/weakness/index.php その中の「マイページのお届け先情報入力ページでのXSS」を修正していた所、『87行目付近』の修正箇所に該当のプログラムがありませんでした。 http://www.ec-cube.net/info/weakness/weakness.php?id=18 87行目付近に下記の記述がありません。 引用: $ob$this->tpl_onload = "fnUpdateParent('". $this->getLocation($_POST['ParentPage']) ."'); window.close();"; 87行目付近には下記の記述があります。 引用: if ($_GET['other_deliv_id'] != ""){ どのように修正したら良いのでしょうか? アドバイスをお願い致します。 |
seasoft |
投稿日時: 2009/7/28 19:18
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7367 |
Re: 脆弱性「マイページのお届け先情報入力ページでのXSS」について 配布されている、2.3.0 と 2.3.1 のソースを査読すると、何か分かる予感。
旧バージョンの取得については、下記スレッドが参考になるかも。(私は試していませんが) http://xoops.ec-cube.net/modules/newbb/viewtopic.php?topic_id=4359&forum=4
|
AMUAMU |
投稿日時: 2009/7/29 11:51
対応状況: −−−
|
神 登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: 脆弱性「マイページのお届け先情報入力ページでのXSS」について 以前2.3.0のバージョンアップをしたときの資料を軽く見てみたところ、行は違うようですが、問題のコードと同じ内容はコードの真ん中あたりにもあるようです。
同じ部分を差し替えれば基本的には良いと思います。
|
popo |
投稿日時: 2009/7/31 16:47
対応状況: −−−
|
長老 登録日: 2008/10/1 居住地: 投稿: 189 |
Re: 脆弱性「マイページのお届け先情報入力ページでのXSS」について アドバイスありがとうございます。
なぜか同じような記述がどこにもないんです あとその他のファイルも修正したら、注文処理でエラーが発生したりして、何か問題がありそうなので、元に戻して運営する事にしました。 ん〜、ただ単に記述を書き換えるだけではダメみたいです。 最新版を導入する必要があるのかな。。。 いろいろとカスタマイズしているから大変だけど。 |
AMUAMU |
投稿日時: 2009/7/31 18:47
対応状況: −−−
|
神 登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: 脆弱性「マイページのお届け先情報入力ページでのXSS」について 2.3.0でも同様のコード部分はあるので、カスタマイズに伴って取り除いたり、色々変えている可能性の方が高いような感じですね・・・
うまくマージするのは中々大変だと思いますが頑張ってやるしかないかと思います。
|
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |