質問 > フロント機能 > 商品一覧表示画面のソース汚染 |
フロント機能
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
n_yamato |
投稿日時: 2011/5/23 12:59
対応状況: −−−
|
新米 登録日: 2011/5/23 居住地: 投稿: 3 |
商品一覧表示画面のソース汚染 EC-CUBE 2.4.4にてECサイトを提供している者です。
商品カテゴリーにおける商品一覧表示について質問があります。 デモサイトにおいてもご確認いただけますが、IEにて トップページ → 商品カテゴリーのいずれかをクリックして 表示された商品一覧ページにて表示されているブラウザのURL欄を XSSのコードを挿入するように書き換えると、 ページ表示を汚され「カゴに入れる」が機能しなくなります。 具体例:http://site.ec-cube.net/products/list.php?category_id=2"><script>alert(document.domain)</script> どのコードをどのように修正すれば、 ページを崩されず正常な機能を提供し続けることができるでしょうか? 下記に当方の環境を記載しておきますので、 お手数ですがご存じの方はご教授ください。 それでは以上、よろしくお願い致します。 失礼します。 --------------------------------------------------------------------------- [EC-CUBE] 2.4.4正式版 [OS] CentOS 5.4 [PHP] PHP 5.2.11 [データベース] MySQL 5.0.87 [WEBサーバ] Apache 2.2.14 [ブラウザ] IE 8 / IE 7 --------------------------------------------------------------------------- |
seasoft |
投稿日時: 2011/5/23 13:27
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7367 |
Re: 商品一覧表示画面のソース汚染 2.4系 ですと、コミュニティ版では既に対策済みですので、参考になるかと思います。
具体的なコード提示ではなく恐縮ですが、参考まで。
|
n_yamato |
投稿日時: 2011/5/25 14:27
対応状況: −−−
|
新米 登録日: 2011/5/23 居住地: 投稿: 3 |
Re: 商品一覧表示画面のソース汚染 ご回答、ありがとうございます。
コミュニティ版にて LC_Page_Products_CategoryListクラスにlfCheckCategoryId()を追加することで 対応していることを確認しました。 もう1点、会員登録画面の住所自動入力においても 同様の事象を確認することができます。 具体例:http://site.ec-cube.net/input_zip.php?zip1=562&zip2=0000&input1=pref"><script>alert(document.domain)<script>&input2=addr01 こちらについても、どのコードをどのように修正すれば対応できるのかを ご教授いただきたく存じます。 それでは以上、よろしくお願い致します。 失礼します。 |
seasoft |
投稿日時: 2011/5/25 23:52
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7367 |
Re: 商品一覧表示画面のソース汚染 こちらも、2.4系 コミュニティ版では、エラー画面が表示されるようです。
また具体的なコード提示ではなく恐縮ですが・・・
|
n_yamato |
投稿日時: 2011/5/26 17:00
対応状況: −−−
|
新米 登録日: 2011/5/23 居住地: 投稿: 3 |
Re: 商品一覧表示画面のソース汚染 度々のご回答、ありがとうございます。
コミュニティ版と2.4.4版の住所自動入力の機能に関するコードを見比べ、 HTTP GETで取得した値がきちんとエラーチェックの処理を通るように 修正したところ問題のソース汚染はなくなりました。 また、何かあるときは、よろしくお願いします。 |
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |