1. 首頁
  2. 問答
  3. Magento Xss預防

Magento Xss預防

2011-05-27 72 views
4

有什麼辦法可以防止xgent在magento中發作?在我的本地我只是想檢查如何防止例如我正在插入腳本XSS攻擊,當用戶註冊在Magento,我在名稱字段中插入整個腳本,當我成功註冊我的儀表盤屏幕截圖我只是震驚Magento Xss預防

enter image description here

刷新頁面後,我得到了另一個屏幕enter image description here

我只是想阻止,沒有人可以做這樣的用戶。

請幫我阻止該類型的攻擊。

來源

2011-05-27 user717841

+0

Magento的版本是什麼? – silex 2011-05-27 11:44:38

+0

我正在使用magento-1.4.1.1版本。 – user717841 2011-05-27 12:05:16

+0

它可能是magento的安全漏洞。 – user717841 2011-05-27 13:38:21

回答

6

此外,這可能是一個模板問題。如果你的模板沒有正確地逃避用戶輸入,你最終會在數據庫中產生垃圾。我跑1.4.1.1爲好,但輸入字段篩選如下:

<li class="wide"> 
    <label for="street_1" class="required"><em>*</em><?php echo $this->__('Street Address') ?></label> 
    <div class="input-box"> 
     <input type="text" name="street[]" value="<?php echo $this->htmlEscape($this->getAddress()->getStreet(1)) ?>" title="<?php echo $this->__('Street Address') ?>" id="street_1" class="input-text required-entry" /> 
    </div> 
</li>

的htmlEscape()函數應該把髒東西的照顧。在某些模板上,它在搜索字段中缺失,您可以使用它獲取可驗證的XSS問題。

來源

2011-05-28 04:14:49

+0

還是我收到警報回調顯示.. – user717841 2011-05-28 15:16:31

+0

您有沒有去,並檢查了模板看下Magento的版本,如果他們htmlEscape()的輸入字段?各種模板位於當前模板文件夾的Customer文件夾中。 – 2011-05-28 16:54:20

+0

我已經檢查過.. – user717841 2011-05-29 04:50:45

4

升級至最新版本的任何產品是爲了防止XSS攻擊的最佳方法。年輕的網絡應用程序一開始就沒有認真對待這些事情而臭名昭着。

如果升級到最新版本的Magento的,並仍在運行到這個問題,我會

  1. 通知供應商有關該問題的

  2. 添加一款全球車型節省監聽器從您發現問題的特定模型中的字段中去除html標籤。

來源

2011-05-27 17:38:19

+2

總是PHP應用程序的正確和痛苦的答案。從1.4.2.0版本說明 - > **在地址形式** – 2011-05-28 02:21:54

+0

艾倫你好你所談論的製作模塊,以擴展核心文件,以防止跨站腳本攻擊XSS固定的問題,這是好主意,但Magento的未提供的安全性。 – user717841 2011-05-28 04:36:45

+0

我只是想使得防止形式的攻擊類型.. – user717841 2011-05-28 04:38:55

相關問題

 相關問題