#34 !! XSS в чате


  • Fixed

    Kaspersky Lab
    , last edited by Jarvis

    Шаги воспроизведения:

    1. Начинаем диалог с другим пользователем

    2. Для простого теста на наличие XSS-уязвимостей пишем в чат "<script>alert('xss!!!!!');</script>"

    Актуальный результат:

    Нет фильтрации -> Stored XSS, что дико опасно (от угона сессии, до разных штучек, особенно с фреймворком BeeF)

    Ожидаемый результат:

    Какой-нибудь обработчик (не знаю, как на nodebb, а в php есть htmlspecialchars ) преобразует html-теги в спец. символы

    System Settings

    Operating system: Win 10, x64

    System: AMD Athlon II X3 450, ASRock 970 Extreme4, 8Gb

    Product: KFA

    Product Version: 1.0.0

    Language: ru-RU



Looks like your connection to Beta Testing was lost, please wait while we try to reconnect.