XSS忘记了密码

时间:2012-03-08 10:42:50

标签: security magento xss

使用POST HTTP方法,Site Scanner发现:

  • 以下资源可能容易​​受到跨站点脚本(扩展模式)的影响:
  • / customer / account / forgotpasswordpost / CGI的'email'参数: / customer / account / forgotpasswordpost / [email = 508 src = http://www.example。 COM / exploit508.js]

到目前为止,我看到代码,Magento感知_GET / _POST。我怎样才能解决这个问题?

1 个答案:

答案 0 :(得分:2)

我想这取决于您运行的Magento版本。可以在app/design/frontend/base/default/template/customer/form/forgotpassword.phtml找到相关模板的默认位置。用户可编辑的唯一值是回显到屏幕上的是电子邮件地址,当然在Magento 1.6中这是通过模板块htmlEscape方法传递的,但是值得检查它是在你的Magento版本中

<input type="text" name="email" alt="email" id="email_address" class="input-text required-entry validate-email" value="<?php echo $this->htmlEscape($this->getEmailValue()) ?>" />

如果您发现它已经存在,则值得检查此模板是否在您当前的主题中没有超载。