Уязвимость типа Reflected XSS Не принято

Question

Уязвимость типа Reflected XSS Не принято

1

Добрый день!

Сегодня от одного из посетителя сайта пришло интересное сообщение, о якобы найденой уязвимости на сайте типа Reflected XSS.

Приведу пример сообщения:

Уязвимость типа Reflected XSS: https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

Ссылка для демонстрации:

/category/novinki/?price_min=3112&price_max=13376%27%22%3E%3Cimg/src=x%20onerror=alert(document.cookie)%3E

Описание: Уязвимость состоит в том, что возможно выполнение любого JavaScript кода, с помощью которого, можно украсть личные данные пользователя (cookie, ip адрес) или же, изменить почту и пароль и получить полный доступ над аккаунтом.

В примере ссылки которую я выше предоставил - демонстрация возможности доступа к cookie, которые отвечают за определение пользователя, имея их, злоумышленник может зайти под аккаунтом человека который перейдет по ссылке.

Исправление: в коде страницы есть параметр price_max, который подставляется из GET параметра price_max, и никак не защищен, для исправления следует с помощью php функции htmlspecialchars() делать данные безопасными.

Если открыть данную ссылку, вылазин интересная штуковина в отображении примененных фильтров товаров. Прикладываю скрин.

Хотелось бы услышать мнение разработчиков по этому поводу.

4 комментария

+1

Алексей 29 августа 2020 17:54 #
В наших темах подобное не повторяется т.к. в коде category.html указано типа
```
{if $wa->get('price_max')}value="{(int)$wa->get('price_max')}"{/if}
```
Вы можете исправить в шаблоне своей темы и сообщить её разработчику.
- +1
  
  chikurov-seo Эксперт Разработчик 31 августа 2020 21:44 #
  
  Честно говоря, меня расстраивает, что в вашем ответе нет фразы наподобие:
  
  "Сообщите в службу поддержки какая у вас используется тема дизайна. Мы проверим вашу информацию на чистой теме дизайна (без доработок), при подтверждении уязвимости передадим информацию разработчику, снимем продукт с продажи и вернем его только после устранения ошибки."
  - +1
    
    Михаил Ушенин 1 сентября 2020 09:40 #
    
    Вы правы! Отправьте нам, пожалуйста, название темы дизайна в службу поддержки — передадим сообщение об ошибке разработчику темы.
    - +1
      
      chikurov-seo Эксперт Разработчик 1 сентября 2020 18:24 #
      
      если что, не я автор темы, а некий Андрей Н.

Добавление новых комментариев к этой теме отключено.