脆弱性

マイページのお届け先情報入力ページでのXSS

  • 情報公開日:2008年 11月 04日
  • 危険度:中
  • 対象:Ver 2.1.2未満
------------------------------------------
脆弱性の種類
------------------------------------------
XSS
-----------------------------------------
脆弱性のあるファイル
-----------------------------------------
data/class/pages/mypage/LC_Page_Mypage_DeliveryAddr.php
-----------------------------------------
対策
-----------------------------------------
=========================================
変更前 67行目付近
=========================================


if (isset($_GET['page'])) {
    $ParentPage = $_GET['page'];
}

=========================================
変更後 67行目付近
=========================================
if (isset($_GET['page'])) {
   $ParentPage = htmlspecialchars($_GET['page'],ENT_QUOTES);
}


=========================================
変更前 87行目付近
=========================================

$ob$this->tpl_onload = "fnUpdateParent('". $this->getLocation($_POST['ParentPage']) ."'); window.close();";

=========================================
変更後 87行目付近
=========================================

if( $_POST['ParentPage'] == MYPAGE_DELIVADDR_URL || $_POST['ParentPage'] == URL_DELIV_TOP ){
    $this->tpl_onload = "fnUpdateParent('". $this->getLocation($_POST['ParentPage']) ."'); window.close();";
}else{
    SC_Utils_Ex::sfDispSiteError(CUSTOMER_ERROR);
}

今すぐネットショップをはじめよう!

資料請求サービス紹介資料をダウンロード

制作パートナーを探す探し方はEC-CUBEのアドバイザーに相談
最新ニュースやECノウハウをお届けします
メールマガジン登録はコチラ
  1. ホーム
  2. 脆弱性
close icon
EC-CUBEペイメントプラス

決済導入なら、EC-CUBE公式決済

公式決済について詳しく知る
EC-CUBE公式 Amazon Pay

CVRアップの事例多数

Amazon Payについて詳しく知る

無料相談受付中!

アドバイザーに相談する