BugTrack/586
の編集
Top
/
BugTrack
/
586
[
トップ
] [
編集
|
差分
|
履歴
|
添付
|
リロード
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
*edit_form() に XSS 脆弱性 [#v8dc559c] -ページ: BugTrack -投稿者: [[masao]] -優先順位: 重要 -状態: 完了 -カテゴリー: 本体バグ -投稿日: 2004-04-22 (木) 15:16:02 -バージョン: 1.4.3 **メッセージ [#n3c59d17] $vars['cmd'] で渡した引数をそのまま出力している箇所があります。 以下のようなURL呼び出しで再現するようです。 http://pukiwiki.sourceforge.jp/dev/?plugin=edit&cmd=%22%3E%3Cs%3Etest%3C/s%3E&page=FrontPage ---- -お知らせいただきありがとうございます。[[BugTrack/570]] に由来していた様です。入力チェックを厳密にすることと、BugTrack/570の変更を(結果的に)差し戻すことで対応しました。(See [[開発日記/2004-06-27]] for detail) -- [[henoheno]] &new{2004-06-27 (日) 21:08:40}; -[[開発日記/2004-06-28]] にて、入力チェックを追加しました。 -- [[henoheno]] &new{2004-06-28 (月) 21:19:51}; -ところで、 ?plugin=edit&page=FrontPage とした場合、「の表示」と表示されてしまいますが、これは想定外の呼び出しなんでしょうか・・・ -- [[henoheno]] &new{2004-06-28 (月) 21:28:30}; - [[official:質問箱3/112]] READONLYの時にcommentだけ許可したい -- &new{2005-11-12 (土) 14:55:56}; -- [[開発日記/2005-11-12]] -- &new{2009-09-02 (水) 22:48:06}; //#comment
タイムスタンプを変更しない
*edit_form() に XSS 脆弱性 [#v8dc559c] -ページ: BugTrack -投稿者: [[masao]] -優先順位: 重要 -状態: 完了 -カテゴリー: 本体バグ -投稿日: 2004-04-22 (木) 15:16:02 -バージョン: 1.4.3 **メッセージ [#n3c59d17] $vars['cmd'] で渡した引数をそのまま出力している箇所があります。 以下のようなURL呼び出しで再現するようです。 http://pukiwiki.sourceforge.jp/dev/?plugin=edit&cmd=%22%3E%3Cs%3Etest%3C/s%3E&page=FrontPage ---- -お知らせいただきありがとうございます。[[BugTrack/570]] に由来していた様です。入力チェックを厳密にすることと、BugTrack/570の変更を(結果的に)差し戻すことで対応しました。(See [[開発日記/2004-06-27]] for detail) -- [[henoheno]] &new{2004-06-27 (日) 21:08:40}; -[[開発日記/2004-06-28]] にて、入力チェックを追加しました。 -- [[henoheno]] &new{2004-06-28 (月) 21:19:51}; -ところで、 ?plugin=edit&page=FrontPage とした場合、「の表示」と表示されてしまいますが、これは想定外の呼び出しなんでしょうか・・・ -- [[henoheno]] &new{2004-06-28 (月) 21:28:30}; - [[official:質問箱3/112]] READONLYの時にcommentだけ許可したい -- &new{2005-11-12 (土) 14:55:56}; -- [[開発日記/2005-11-12]] -- &new{2009-09-02 (水) 22:48:06}; //#comment
テキスト整形のルールを表示する