Перейти к содержимому

Техники локализации плавающих дефектов
онлайн, начало 19 апреля
Автоматизация функционального тестирования
онлайн, начало 16 апреля
Практикум по тест-дизайну 2.0
онлайн, начало 16 апреля
Автоматизатор мобильных приложений
онлайн, начало 21 апреля
Фотография

Статический анализ кода

статический анализ код

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 2

#1 mobius07

mobius07

    Новый участник

  • Members
  • Pip
  • 4 сообщений
  • ФИО:Кунгурцев Вячеслав Викторович

Отправлено 10 апреля 2017 - 10:31

Здравствуйте. Не могли бы помочь разобраться с фрагментами кода после статического анализа одной CMS.
Мне выдает ошибку XSS, только разобраться не могу как ее воспроизвести из браузера
 

Скриншот с кодом прилагается

 

Как я понял зеленым цветом выделено где именно находится ошибка, и где при подстановке можно сделать XSS

Прикрепленные файлы


Сообщение отредактировал mobius07: 10 апреля 2017 - 10:32

  • 0

#2 checo

checo

    Опытный участник

  • Members
  • PipPipPipPip
  • 400 сообщений
  • Город:Н.Новгород

Отправлено 10 апреля 2017 - 10:36

Значение $str_COMMENTS вставляется непосредственно из пост-запроса без проверки.

Если в этом поле запостить какой-нибудь тег <script> с каким-нибудь вредоносным кодом, то при загрузке страницы он выполнится.


  • 1

#3 mobius07

mobius07

    Новый участник

  • Members
  • Pip
  • 4 сообщений
  • ФИО:Кунгурцев Вячеслав Викторович

Отправлено 10 апреля 2017 - 10:47

Значение $str_COMMENTS вставляется непосредственно из пост-запроса без проверки.

Если в этом поле запостить какой-нибудь тег <script> с каким-нибудь вредоносным кодом, то при загрузке страницы он выполнится.

Спасибо за ответ!


  • 0


Школа тест-менеджеров v. 2.0
онлайн
Тестирование удобства использования
онлайн
Логи как инструмент тестировщика
онлайн
Организация автоматизированного тестирования
онлайн




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных

Яндекс.Метрика
Реклама на портале