#xss #kentico
#xss #kentico
Вопрос:
Мы все еще используем Kentico 10 и не выполнили сканирование PCI. В результатах указаны уязвимости XXS. Не совсем понимаю документацию Kentico о том, как это решить. Протестировано с предупреждением (1) в окне поиска, и оно выполнено с 1 во всплывающем окне сообщения.
Уже обновлен файл веб-конфигурации с рекомендациями. В документации перечислены следующие способы избежать, но я не уверен, где это сделать. В самой CMS? На сервере?
Ответ №1:
Если вы ввели вызов скрипта в окно поиска и получили всплывающее окно, это означает, что вам нужно закодировать вводимый текст. HtmlEncode, вероятно, первое, что я бы сделал. Сделайте это в исходном коде, прежде чем сохранять его в системе или использовать входные данные для чего-либо.
Комментарии:
1. Мы исправили проблему с окном поиска с помощью нескольких строк в файле web.config, однако мы по-прежнему терпим неудачу, потому что у нас более старая версия jQuery. Trustwave специально ищет, какая версия jQuery у вас есть, которую мы не можем обновить, не нарушая работу CMS. Единственным решением является обновление нашей версии CMS или выбор новой CMS. Наш директор рассматривает оба варианта.
2. Что ж, я могу понять проблему, связанную с jQuery. У меня была такая же проблема со сканированием веб-приложений Sitecore и Qualys. В документах Kentico говорится, что рекомендуется избегать использования встроенной библиотеки jQuery из-за потенциального взлома сайтов в будущем. Я не уверен, внедрили ли мы пользовательскую библиотеку jQuery самостоятельно, всего 3 недели на работе. Но является ли это потенциальным вариантом для вас? docs.kentico.com/k10/custom-development /… — в нижней части статьи.