當(dāng)前位置：首頁(yè) > 编程资源 > 编程问答 >内容正文

编程问答

magento app/design/adminhtml/default/default/template/sales/order/view/info.phtml XSS Vul

發(fā)布時(shí)間：2024/4/14 编程问答 38 豆豆

生活随笔收集整理的這篇文章主要介紹了 magento app/design/adminhtml/default/default/template/sales/order/view/info.phtml XSS Vul 小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

catalogue

1. 漏洞描述 2. 漏洞觸發(fā)條件 3. 漏洞影響范圍 4. 漏洞代碼分析 5. 防御方法 6. 攻防思考

1. 漏洞描述

Relevant Link:

http://www.freebuf.com/vuls/94277.html

2. 漏洞觸發(fā)條件

0x1: POC

">alert(1);"@sucuri.net

3. 漏洞影響范圍
4. 漏洞代碼分析

app/design/adminhtml/default/default/template/sales/order/view/info.phtml

<tr><td class="label"><label><?php echo Mage::helper('sales')->__('Email') ?></label></td><td class="value"><a href="mailto:<?php echo $_order->getCustomerEmail() ?>"><?php echo $_order->getCustomerEmail() ?></a></td> </tr>

5. 防御方法

app/design/adminhtml/default/default/template/sales/order/view/info.phtml

<tr><td class="label"><label><?php echo Mage::helper('sales')->__('Email') ?></label></td><td class="value"><a href="mailto:<?php echo htmlspecialchars($_order->getCustomerEmail()) ?>"><?php echo htmlspecialchars($_order->getCustomerEmail()) ?></a></td> </tr>

6. 攻防思考

轉(zhuǎn)載于:https://www.cnblogs.com/LittleHann/p/5178524.html

總結(jié)

以上是生活随笔為你收集整理的magento app/design/adminhtml/default/default/template/sales/order/view/info.phtml XSS Vul的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇： SOAP/Web Service/WSD
下一篇： HYSBZ/BZOJ 1038 [ZJO