XSSが可能となっています #266

Himenon · 2017-12-07T02:07:53Z

はじめまして。crowiの導入を検討しようとして、XSSを試したところ、通ってしまいました。

編集画面と、編集完了後のページでのXSSが確認されています。

<script>for (let i=1;;++i) {alert(Array(i+1).join("Hello XSS!"));}</script>

どこのコードが問題の箇所か特定できていませんが、早急に修正したほうが良いと思います。
また、デモの方でも同じような症状がでています。

http://demo.crowi.wiki/

The text was updated successfully, but these errors were encountered:

sotarok · 2017-12-07T15:15:24Z

Thank you for the feedback.
Please refer following PR #97

Himenon · 2017-12-07T15:25:10Z

既にclosedされてあったんですね、見落としていました＾＾：
ありがとうございます。

sotarok · 2017-12-13T05:46:33Z

こちらこそ、ありがとうございます。引き続きお願いします 🙇

Himenon changed the title ~~XSSが可能なのでXサニタイズしてほしい~~ XSSが可能となっています Dec 7, 2017

sotarok closed this as completed Dec 7, 2017

sotarok added the Wontfix label Dec 7, 2017

yuki-takei mentioned this issue Dec 15, 2017

Imprv: Prevent XSS (Cross Site Scripting) - Part 1 weseek/growi#215

Closed

Provide feedback