バージョン選択

フォーラム

メニュー

オンライン状況

25 人のユーザが現在オンラインです。 (13 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 25
もっと...

サイト内検索

質問 > フロント機能 > Crawlerとhtml_entity_decodeでXSS

フロント機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
rmaki
投稿日時: 2021/5/26 11:23
対応状況: −−−
半人前
登録日: 2018/5/17
居住地:
投稿: 30
Crawlerとhtml_entity_decodeでXSS
▼テンプレート
[EC-CUBE]3.0.16
[導入プラグインの有無] ContactProduct, NoTransitionCart

上記のプラグインの中で、商品詳細ページにおいて
商品詳細ページをcrawlして、html_entity_decodeして
要素の追加を行っていますが、当サイトではヘッダ部にお客様の
名前を表示しており、こちらにxssのコードを入力すると
html_entity_decodeされ有害化されてしまいます。

①プラグインを通さないと以下のように出力
"><sCRiPt>alert('aa');</sCrIpT>
②プラグイン内で、crawl、html_entity_decodeして要素を追加

③scriptタグが有効になって出力される
"><sCRiPt>alert('aa');</sCrIpT>

こちら、無害化するにはどのように対処するものでしょうか。

おそらく、以下のサンプルプラグインを実行すると発生します。
https://github.com/shhirose/eccube3-CrawlerBugTest/blob/master/Event.php

ご助言のほど、よろしくおねがいします。

468
投稿日時: 2021/5/29 10:48
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 2999
Re: Crawlerとhtml_entity_decodeでXSS
>当サイトではヘッダ部にお客様の名前を表示
このお客様の名前を渡している所で、お客様の名前に対してhtmlエスケープを実施すればよいかと思います。

プラグインの仕様を把握できておりませんが
プラグインが出力する項目すべてにhtmlエスケープを処理する必要はないのではないでしょうか?
(この辺りはサイト管理者の考え方によると思いますが)


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBEペイメント

公式ストアEC-CUBE4系デザインテンプレート続々リリース中

統計情報

総メンバー数は71,640名です
総投稿数は101,383件です

投稿数ランキング

1
seasoft
7333
2
468
2999
3
AMUAMU
2712
4
nanasess
2147
5
umebius
2006
6
yuh
1612
7
red
1450
8
h_tanaka
1080
9
tsuji
936
10
fukap
907
11
shutta
835
12
tao_s
793
13 ramrun 789
14 karin 689
15 sumida 641
16
homan
633
17 DELIGHT 572
18
patapata
502
19
flealog
485
20 tonton 437


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.