卡優新聞網反射式跨網站指令碼漏洞

Vulnerability Overview

ZDID: ZD-2024-00869
發信 Vendor: 威辰資通股份有限公司
Title: 卡優新聞網反射式跨網站指令碼漏洞
Introduction: 攻擊者通過在URL參數中注入惡意腳本代碼，誘使用戶點擊該連結，當受害者存取受影響的網頁時，這些惡意代碼將在受害者的瀏覽器上下文中執行

處理狀態

目前狀態

公開

Last Update : 2024/10/05

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2024/08/05 10:45:14 : 新提交 (由 shaber_1337 更新此狀態)
2024/08/06 22:36:50 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/08/12 18:45:45 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/08/12 18:45:45 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/08/12 18:45:45 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/10/05 03:00:05 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2024-00869
通報者：qq9693210000 (shaber_1337)
風險：高
類型：跨站腳本攻擊 (Cross-Site Scripting)

參考資料

暫無資料

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

該網站首頁搜尋欄位無進行任何過濾。

攻擊者可以輸入任何XSS payload

觸發XSS漏洞。

修補建議

輸入驗證與過濾：
．過濾特殊字符：在接受使用者輸入時，過濾掉 <, >, &, ', " 等特殊字符，防止這些字符被解釋為HTML或JavaScript。
．白名單過濾輸入：只允許符合預期格式的字符或模式，拒絕任何不在白名單內的字符。

輸出編碼：
．HTML編碼：將使用者輸入的內容進行HTML編碼，確保這些內容在呈現給用戶時被當作普通文本，而不是HTML或JavaScript。例如，將 < 編碼為 <，> 編碼為 >。
．JavaScript編碼：如果需要將用戶輸入的內容嵌入到JavaScript代碼中，必須進行JavaScript編碼，防止代碼注入。