[研究]Forify SCA 的 Open Redirect 問題(二)ckeditor 的 tmpFrameset.html

[研究][ASP.NET]Fortify Static Code Analyzer (SCA) 報告tmpFrameset.html有Open Redirect問題

2021-07-12

********************************************************************************

解決

tmpFrameset.html 是 ckeditor-full 套件的檔案，

function doLoadScript( url ) { if ( !url || typeof url !== 'string' ) return false ; var s = document.createElement( "script" ) ; s.type = "text/javascript" ; s.src = url ; document.getElementsByTagName( "head" )[ 0 ].appendChild( s ) ; return true ; }

這是 3rd Party 套件，非自行撰寫的 Code；注意，一但ckeditor更新，被修改的又會覆蓋回來。

********************************************************************************

2021-08-15

突發奇想，參考這篇寫個小程式 ( 目前 ckeditor 是 4.16.2 版)

[研究][ASP.NET][JavaScript] ckeditor-full v4.9.2 試用(NuGet安裝)
http://shaurong.blogspot.com/2018/06/aspnetjavascript-ckeditor-full-v492.html

把  tmpFrameset.html 改名 tmpFrameset.html_，測試了一下，ckeditor 似乎仍能正常運作，那 tmpFrameset.html 不是必須？它又是甚麼？它在 plugins 下的 wsc，所以  Google "wsc  ckeditor"，可能是 WebSpellChecker Dialog

https://ckeditor.com/cke4/addon/wsc

按下 Dowload 按鈕下載了 wsc_4.16.2.zip，解壓果然 tmpFrameset.html 在其中，

在方案的  \Scripts\ckeditor\plugins\wsc\README.md  檔案內容中看到 wsc 啟用方法

2. Enable the "wsc" plugin in the CKEditor configuration file (config.js):

        config.extraPlugins = 'wsc';

檢視  \Scripts\ckeditor\config.js 檔案內容沒看到那行，表示根本沒有啟用，所以 \Scripts\ckeditor\plugins 之下的整個 wsc 目錄是可以砍掉的。

********************************************************************************

2021-08-15

既然 ckeditor-full 有些根本沒啟用，是否 NuGet 安裝 ckeditor-standard 就好？實際測試，還是包含　tmpFrameset.html。

********************************************************************************

2021-08-15

再另建一個方案，NuGet 安裝 ckeditor-basic就好，實際測試，還是包含 tmpFrameset.html。

********************************************************************************

2021-08-15

[研究] ckeditor full, standard, basic 版的差別
https://shaurong.blogspot.com/2021/08/ckeditor-full-standard-basic.html

********************************************************************************

2021-08-15

安裝 ckeditor-full，config.js 中沒有特別去設定啟用 wsc，但是實際上是可用的。

不過如果把 wsc 目錄砍了，底下 4個選項永遠是灰色，不能切換。

********************************************************************************

2021-08-15

實際測試，ASP.NET WebForm WebApplication 方案只要 NuGet 安裝 ckeditor，就算沒有實際使用 ckeditor，tmpFrameset.html 仍會被掃出有問題。 

把 tmpFrameset.html 改名 tmpFrameset.html_，啟動 Fortify SCA ScanWizard 重新建立新的 .BAT 去掃，這次沒發現了。

但不會像 wsc 目錄整個砍掉後，「啟用即時拼寫檢查」下的4個選項會永遠灰色；但只改名這個檔案，「啟用即時拼寫檢查」下的4個選項仍可啟用。

(完)

相關

 [研究][ASP.NET]Fortify Static Code Analyzer (SCA) 報告Open Redirect
https://shaurong.blogspot.com/2021/07/aspnetfortify-sca-open-redirect.html

[研究][ASP.NET]Fortify SCA 報告Password Management: Empty Password 和 Hardcoded Password
http://shaurong.blogspot.com/2021/07/aspnetfortify-sca-password-management.html

[研究][ASP.NET]Fortify Static Code Analyzer (SCA) 報告從資料庫取得資料直接顯示於 Label 可能 Cross-Site Scripting: Persistent (XSS)
https://shaurong.blogspot.com/2021/07/aspnetfortify-static-code-analyzer-sca.html

[研究] Microsoft Anti-XSS Library V4.3 (Anti-Cross Site Scripting Library) 與 AntiXssEncoder.HtmlEncode
http://shaurong.blogspot.com/2017/06/microsoft-anti-xss-library-v43-anti.html

[研究] Microsoft Anti-XSS Library V4.3 (Anti-Cross Site Scripting Library)
https://shaurong.blogspot.com/2017/06/microsoft-anti-xss-library-v43-anti.html

AntiXssEncoder.HtmlEncode 方法 (System.Web.Security.AntiXss) | Microsoft Docs
https://docs.microsoft.com/zh-tw/dotnet/api/system.web.security.antixss.antixssencoder.htmlencode?view=netframework-4.8

[研究][ASP.NET] 用了 AntiXssEncoder.HtmlEncoder 仍被 Fortify SCA v17.20 說有問題
https://shaurong.blogspot.com/2018/04/aspnet-antixssencoderhtmlencoder.html

[研究] [ASP.NET] DropDownList1 的 Cross-site scripting (XSS) (Reflected XSS) 修正
https://shaurong.blogspot.com/2017/09/aspnet-dropdownlist1-cross-site.html

[研究] [ASP.NET] Cross-Site Scripting(XSS) 防範，白名單輸入驗證
https://shaurong.blogspot.com/2019/06/aspnet-cross-site-scriptingxss.html

[研究] X-XSS Protection
https://shaurong.blogspot.com/2017/06/x-xss-protection.html

[研究][ASP.NET][C#]Fortify SCA 報告 Eval()有 Cross-Site Scripting: Persistent解法
https://shaurong.blogspot.com/2020/10/aspnetcfortify-sca-eval-cross-site.html

[研究] Fortify SCA 19.10 與 jquery-3.3.1-vsdoc.js, line 812 (Dynamic Code Evaluation Code Injection)
https://shaurong.blogspot.com/2019/07/fortify-sca-1910-jquery-331-vsdocjs.html

[研究] Fortify SCA 報告 Web.Config 連線資訊有 Insecure Transport: Database 問題
https://shaurong.blogspot.com/2018/12/fortify-sca-webconfig.html

[研究][ASP.NET] Fortify SCA v17.20 報告 Web.config ( Insecure Transport: Datbase) Critical 問題
https://shaurong.blogspot.com/2018/04/aspnet-fortify-sca-v1720-webconfig.html

[研究][JavaScript] CKeditor 4.9.1 與 Fortify SCA v17.20
https://shaurong.blogspot.com/2018/04/javascript-ckeditor-491-fortify-sca.html

[研究][ASP.NET][JavaScript] hideShowPassword 與 Fortify SCA 白箱測試
https://shaurong.blogspot.com/2018/04/aspnetjavascript-hideshowpassword.html