南科實中行政支援網站

[318] 維修通知單

維修通知單
報修內容	學校網站漏洞
報修地點	學校網站
報修日期	2019-01-01 09:46:02
嚴重程度	中等
報修者	訪客
詳細說明	學校網站「填寫維修單」功能有 XSS 漏洞因為此漏洞算大，且有許多學校網站使用此模組已向台灣駭客年會 ZeroDay （ HITCON ）通報，漏洞查核中（如圖）在詳細說明欄位若填入 script 標籤將會被執行例如本通報 <script>alert("XSS 的範例");</script> 我輸入了 alert("XSS 的範例") 的確執行了建議修補方式：在用戶輸入詳細說明時過濾 script 等不安全的標籤受影響網址： http://hs.nnkieh.tn.edu.tw/modules/tad_repair/repair.php 攻擊者可經由該漏洞竊取使用者身份，或進行掛碼、轉址等攻擊行為。漏洞說明： OWASP - Cross-site Scripting (XSS) https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) 防護原則： https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet XSS 防禦繞過方式： https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
照片

處理狀況
負責單位	資訊室IT-國中部含IBST
處理狀況	已修復
回覆內容	已回報給tad老師～tad老師修復了～感謝提醒歡迎同學有空再幫學校網站多找BUG
回覆日期	2019-01-01 12:07:52
回覆者	admin
照片