Filter the input fields to avoid XSS attacks #683

jorikfon · 2024-03-21T02:31:18Z

После авторизации, отсутствует какая либо фильтрация ввода от пользователя, поэтому неоднократно можно воспроизвести там хранимый JavaScript код (XSS), который будет выполняться при каждом обращении пользователей к этой странице
Пример воспроизведения уязвимости:
Добавляем пользователя, ставим ему имя как <script>alert('XSS')</script>
После сохранения всплывает окно оповещения. Угроза в том, что подобным способом имеется возможность выкрасть cookie сессию администратора или изменять фронт енд элементы на самом сайте.

jorikfon · 2024-09-16T03:04:56Z

Добавил в Extensions REST API, если проблем не будет можно будет во все добавить.

jorikfon · 2024-09-25T02:47:53Z

В Сотрудниках были проблемы с полем для ручной кастомизации, там нужны теги, убрал его из фильтрации.

jorikfon added the enhancement New feature or request label Mar 21, 2024

jorikfon added a commit that referenced this issue Sep 16, 2024

Filter the input fields to avoid XSS attacks #683

76fea02

jorikfon added a commit that referenced this issue Oct 5, 2024

Filter the input fields to avoid XSS attacks #683

5b20b63

jorikfon added a commit that referenced this issue Oct 7, 2024

Filter the input fields to avoid XSS attacks #683

c9297e6

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Filter the input fields to avoid XSS attacks #683

Filter the input fields to avoid XSS attacks #683

jorikfon commented Mar 21, 2024

jorikfon commented Sep 16, 2024

jorikfon commented Sep 25, 2024

Filter the input fields to avoid XSS attacks #683

Filter the input fields to avoid XSS attacks #683

Comments

jorikfon commented Mar 21, 2024

jorikfon commented Sep 16, 2024

jorikfon commented Sep 25, 2024