[318] 維修通知單
| 報修內容 | 學校網站漏洞 |
|---|---|
| 報修地點 | 學校網站 |
| 報修日期 | 2019-01-01 09:46:02 |
| 嚴重程度 | 中等 |
| 報修者 | 訪客 |
| 詳細說明 |
學校網站「填寫維修單」功能有 XSS 漏洞 因為此漏洞算大,且有許多學校網站使用此模組 已向 台灣駭客年會 ZeroDay ( HITCON )通報,漏洞查核中 (如圖) 在詳細說明欄位若填入 script 標籤 將會被執行 例如本通報 <script>alert("XSS 的範例");</script> 我輸入了 alert("XSS 的範例") 的確執行了 建議修補方式: 在用戶輸入詳細說明時過濾 script 等不安全的標籤 受影響網址: http://hs.nnkieh.tn.edu.tw/modules/tad_repair/repair.php 攻擊者可經由該漏洞竊取使用者身份,或進行掛碼、轉址等攻擊行為。 漏洞說明: OWASP - Cross-site Scripting (XSS) https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) 防護原則: https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet XSS 防禦繞過方式: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet |
| 照片 |
處理狀況
| 負責單位 | 資訊室IT-國中部含IBST |
|---|---|
| 處理狀況 | 已修復 |
| 回覆內容 | 已回報給tad老師~tad老師修復了~感謝提醒 歡迎同學有空再幫學校網站多找BUG |
| 回覆日期 | 2019-01-01 12:07:52 |
| 回覆者 | 管理員 |
| 照片 |