ID
《ZDID》ZD-2017-00589
Content
受測單位:伊凡達科技股份有限公司
風險評估:中
漏洞類型:預存式跨站腳本攻擊 (Stored Cross-Site Scripting)
通報時間:2017/10/16
Describe
名稱欄位可以被執行腳本,沒有做到字元過濾的防護
RC語音的「名稱欄位」中,如果命名為 「"><script>alert('1')</script>」 再進去”秀場”系統,則會被執行名稱上的語法,在論壇中也有一樣的問題,甚至可以透過「<!-- 」輕鬆註解論壇網頁。
Repair
可禁用敏感字眼,並且最好能在輸出前轉換文字為html編碼,這可以大大減少XSS的發生。
防護原則:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet