Menu

#127 Фильтрация значений полей, xss

v4.2
closed-fixed
Dofs
WFE Server (104)
5
2015-02-25
2012-07-10
vromav
No

Значения полей некорректно фильтруется, т.е. например:
- если задать имя нового пользователя как <user>, то получим пустое имя пользователя
- но если задать имя как <script>alert('Имя');</script>, то при этом js код будет выполнен при просмотре списка исполнителей
- также заметил выполнение js кода в поле Тип процесса (если задать тип например <script>alert('type');</script)
или например даже в форме процесса Vacation (поля reason и comments)

Discussion

  • vromav

    vromav - 2012-07-10
     
    Thumbnail
    scr1_1.png

  • vromav

    vromav - 2012-07-10
     
    Thumbnail
    scr1_2.png

  • vromav

    vromav - 2012-07-10
     
    Thumbnail
    scr2_1.png

  • vromav

    vromav - 2012-07-10
     
    Thumbnail
    scr2_2.png

  • vromav

    vromav - 2012-07-10
     
    Thumbnail
    scr3.png

  • vromav

    vromav - 2012-07-10
     
    Thumbnail
    scr4.png

  • Dofs

    Dofs - 2013-02-21
    • milestone: 2947358 --> v4.0.beta
     

  • Dofs

    Dofs - 2013-02-21
    • assigned_to: nobody --> gritsenko_s
     

  • Andrei Mikheev

    Andrei Mikheev - 2013-04-11
    • Group: v4.0.beta --> v4.0.2
     

  • Dofs

    Dofs - 2013-04-23

    Задал значение переменной в одном из процессов
    <script>alert(document.cookie);</script>
    Далее добавил вывод значений данной переменной в столбце, получаю выполнение кода

     

  • Dofs

    Dofs - 2013-06-05
    • status: open --> pending-fixed
    • Group: v4.0.2 --> v4.0.4
     

  • Dofs

    Dofs - 2013-06-05

    Просьба проверить что теперь нет каких-нибудь лишних запретов на ввод.

     

  • vromav

    vromav - 2013-10-13
    • status: pending-fixed --> open
    • Group: v4.0.4 --> v4.0.6
     

  • vromav

    vromav - 2013-10-13

    Проверил на примере процесса Vacation, запустил под julius, поле reason заполнил js скриптом, при получении задачи у nero, код выполнился.

     

  • vromav

    vromav - 2013-10-13

    скрин

     
    Thumbnail
    1.png

  • Dofs

    Dofs - 2013-11-21

    Должно быть исправлено

     

  • Dofs

    Dofs - 2013-11-21
    • status: open --> pending-fixed
    • assigned_to: Dofs --> vromav
     

  • vromav

    vromav - 2014-02-03
    • status: pending-fixed --> open
    • assigned_to: vromav --> Dofs
    • Group: v4.0.6 --> v4.1.0
     

  • vromav

    vromav - 2014-02-03

    В 4.1 не исправлено, использую ввод переменной строки, и вывод переменной (как строка), при этом js код выполняется,
    если ввести например строку окруженную <... > то получаю empty строку

     

    Last edit: vromav 2014-02-03

  • vromav

    vromav - 2015-02-25
    • status: open --> closed-fixed
    • Group: v4.1.0 --> v4.2