バージョン選択

フォーラム

メニュー

オンライン状況

80 人のユーザが現在オンラインです。 (71 人のユーザが フォーラム を参照しています。)
登録ユーザ: 1
ゲスト: 79
tokmatikb もっと...

サイト内検索

質問 > フロント機能 > Crawlerとhtml_entity_decodeでXSS

フロント機能

新規スレッドを追加する

スレッド表示 | 古いものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
468
投稿日時: 2021/5/29 10:48
対応状況: −−−
登録日: 2008/10/26
居住地:
投稿: 3217
Re: Crawlerとhtml_entity_decodeでXSS
>当サイトではヘッダ部にお客様の名前を表示
このお客様の名前を渡している所で、お客様の名前に対してhtmlエスケープを実施すればよいかと思います。

プラグインの仕様を把握できておりませんが
プラグインが出力する項目すべてにhtmlエスケープを処理する必要はないのではないでしょうか?
(この辺りはサイト管理者の考え方によると思いますが)


----------------
株式会社シロハチ
■ECCUBE2系、3系構築カスタマイズご相談ください。
EC-CUBE3マニュアル
blog

rmaki
投稿日時: 2021/5/26 11:23
対応状況: −−−
常連
登録日: 2018/5/17
居住地:
投稿: 34
Crawlerとhtml_entity_decodeでXSS
▼テンプレート
[EC-CUBE]3.0.16
[導入プラグインの有無] ContactProduct, NoTransitionCart

上記のプラグインの中で、商品詳細ページにおいて
商品詳細ページをcrawlして、html_entity_decodeして
要素の追加を行っていますが、当サイトではヘッダ部にお客様の
名前を表示しており、こちらにxssのコードを入力すると
html_entity_decodeされ有害化されてしまいます。

①プラグインを通さないと以下のように出力
"><sCRiPt>alert('aa');</sCrIpT>
②プラグイン内で、crawl、html_entity_decodeして要素を追加

③scriptタグが有効になって出力される
"><sCRiPt>alert('aa');</sCrIpT>

こちら、無害化するにはどのように対処するものでしょうか。

おそらく、以下のサンプルプラグインを実行すると発生します。
https://github.com/shhirose/eccube3-CrawlerBugTest/blob/master/Event.php

ご助言のほど、よろしくおねがいします。

スレッド表示 | 古いものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は88,297名です
総投稿数は109,692件です

投稿数ランキング

1
seasoft
7365
2
468
3217
3
AMUAMU
2712
4
nanasess
2303
5
umebius
2085
6
yuh
1818
7
h_tanaka
1610
8
red
1568
9
mcontact
1240
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
796
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.