六龜高級中學 Stored XSS

Vulnerability Overview

ZDID: ZD-2023-00520
發信 Vendor: TACERT台灣學術網路危機處理中心
Title: 六龜高級中學 Stored XSS
Introduction: 留言板儲存型XSS

處理狀態

目前狀態

公開

Last Update : 2023/11/20

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2023/09/20 16:50:48 : 新提交 (由 DL56 更新此狀態)
2023/09/26 14:02:38 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/09/26 14:02:53 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/10/13 16:33:38 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/10/13 16:33:38 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/10/13 16:33:39 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/11/20 03:00:09 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2023-00520
通報者：dinlon5566 (DL56)
風險：高
類型：預存式跨站腳本攻擊 (Stored Cross-Site Scripting)

參考資料

攻擊者可經由該漏洞竊取使用者身份，或進行掛碼、轉址等攻擊行為。

漏洞說明： OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

防護原則：
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

XSS 防禦繞過方式：
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

google關鍵字

留言板 site=".edu.tw"

發現受影響網址可以進行留言。
於標題與內容輸入payload:

標題:
<script>alert("title");</script>
內容:
<script>
alert(document.cookie);
</script>

發現皆可進行XSS。

並可以得知有特定人士將會收到以上payload，有心人士可對此進行攻擊。

修補建議

1.輸入驗證(Input Validation)：你應該驗證所有的用戶輸入數據，並確保它符合預期的格式。例如，如果一個欄位需要輸入日期，那麼應該拒絕任何非日期格式的輸入。

2.輸出編碼(Output Encoding)：當你要在HTML文檔中顯示來自用戶的輸入時，應該將該輸入進行編碼。例如，你應該將"<"和">"這兩個字符編碼為<和>。這樣可以防止惡意腳本被解析和執行。

3.使用HTTP Only Cookies：將cookies設置為HTTP Only，這樣就可以防止透過客戶端腳本訪問它們，從而減少了某些類型的XSS攻擊。

4.使用Content Security Policy (CSP)：這是一種安全機制，可以用來限制瀏覽器只能從你指定的位置加載資源，從而防止XSS攻擊。

5.使用防範XSS攻擊的工具或函式庫：有許多開源的工具或函式庫可以幫助你防範XSS攻擊，如 OWASP 的 Java Encoder 用於 Java，Microsoft 的 AntiXSS Library 用於 .NET。

注意：防止XSS攻擊需要一種全面的策略，並且應該將以上所有建議都納入考慮範圍內