2021年7月12日 星期一

[研究]Forify SCA 的 Open Redirect 問題(二)ckeditor 的 tmpFrameset.html

[研究][ASP.NET]Fortify Static Code Analyzer (SCA) 報告tmpFrameset.html有Open Redirect問題

2021-07-12


********************************************************************************

解決

tmpFrameset.html 是 ckeditor-full 套件的檔案,








function doLoadScript( url )
{
	if ( !url || typeof url !== 'string' )
		return false ;

	var s = document.createElement( "script" ) ;
	s.type = "text/javascript" ;
	s.src = url ;
	document.getElementsByTagName( "head" )[ 0 ].appendChild( s ) ;

	return true ;
}   

這是 3rd Party 套件,非自行撰寫的 Code;注意,一但ckeditor更新,被修改的又會覆蓋回來。

********************************************************************************

2021-08-15

突發奇想,參考這篇寫個小程式 ( 目前 ckeditor 是 4.16.2 版)

[研究][ASP.NET][JavaScript] ckeditor-full v4.9.2 試用(NuGet安裝)
http://shaurong.blogspot.com/2018/06/aspnetjavascript-ckeditor-full-v492.html

把  tmpFrameset.html 改名 tmpFrameset.html_,測試了一下,ckeditor 似乎仍能正常運作,那 tmpFrameset.html 不是必須?它又是甚麼?它在 plugins 下的 wsc,所以  Google "wsc  ckeditor",可能是 WebSpellChecker Dialog

https://ckeditor.com/cke4/addon/wsc

按下 Dowload 按鈕下載了 wsc_4.16.2.zip,解壓果然 tmpFrameset.html 在其中,

在方案的  \Scripts\ckeditor\plugins\wsc\README.md  檔案內容中看到 wsc 啟用方法

2. Enable the "wsc" plugin in the CKEditor configuration file (config.js):

        config.extraPlugins = 'wsc';

檢視  \Scripts\ckeditor\config.js 檔案內容沒看到那行,表示根本沒有啟用,所以 \Scripts\ckeditor\plugins 之下的整個 wsc 目錄是可以砍掉的。

********************************************************************************

2021-08-15

既然 ckeditor-full 有些根本沒啟用,是否 NuGet 安裝 ckeditor-standard 就好?實際測試,還是包含 tmpFrameset.html。

********************************************************************************

2021-08-15

再另建一個方案,NuGet 安裝 ckeditor-basic就好,實際測試,還是包含 tmpFrameset.html。

********************************************************************************

2021-08-15

[研究] ckeditor full, standard, basic 版的差別
https://shaurong.blogspot.com/2021/08/ckeditor-full-standard-basic.html

********************************************************************************

2021-08-15

安裝 ckeditor-full,config.js 中沒有特別去設定啟用 wsc,但是實際上是可用的。


不過如果把 wsc 目錄砍了,底下 4個選項永遠是灰色,不能切換。

********************************************************************************

2021-08-15

實際測試,ASP.NET WebForm WebApplication 方案只要 NuGet 安裝 ckeditor,就算沒有實際使用 ckeditor,tmpFrameset.html 仍會被掃出有問題。 

把 tmpFrameset.html 改名 tmpFrameset.html_,啟動 Fortify SCA ScanWizard 重新建立新的 .BAT 去掃,這次沒發現了。
但不會像 wsc 目錄整個砍掉後,「啟用即時拼寫檢查」下的4個選項會永遠灰色;但只改名這個檔案,「啟用即時拼寫檢查」下的4個選項仍可啟用。


(完)

相關

 [研究][ASP.NET]Fortify Static Code Analyzer (SCA) 報告Open Redirect
https://shaurong.blogspot.com/2021/07/aspnetfortify-sca-open-redirect.html

[研究][ASP.NET]Fortify SCA 報告Password Management: Empty Password 和 Hardcoded Password
http://shaurong.blogspot.com/2021/07/aspnetfortify-sca-password-management.html

[研究][ASP.NET]Fortify Static Code Analyzer (SCA) 報告從資料庫取得資料直接顯示於 Label 可能 Cross-Site Scripting: Persistent (XSS)
https://shaurong.blogspot.com/2021/07/aspnetfortify-static-code-analyzer-sca.html

[研究] Microsoft Anti-XSS Library V4.3 (Anti-Cross Site Scripting Library) 與 AntiXssEncoder.HtmlEncode
http://shaurong.blogspot.com/2017/06/microsoft-anti-xss-library-v43-anti.html

[研究] Microsoft Anti-XSS Library V4.3 (Anti-Cross Site Scripting Library)
https://shaurong.blogspot.com/2017/06/microsoft-anti-xss-library-v43-anti.html

AntiXssEncoder.HtmlEncode 方法 (System.Web.Security.AntiXss) | Microsoft Docs
https://docs.microsoft.com/zh-tw/dotnet/api/system.web.security.antixss.antixssencoder.htmlencode?view=netframework-4.8

[研究][ASP.NET] 用了 AntiXssEncoder.HtmlEncoder 仍被 Fortify SCA v17.20 說有問題
https://shaurong.blogspot.com/2018/04/aspnet-antixssencoderhtmlencoder.html

[研究] [ASP.NET] DropDownList1 的 Cross-site scripting (XSS) (Reflected XSS) 修正
https://shaurong.blogspot.com/2017/09/aspnet-dropdownlist1-cross-site.html

[研究] [ASP.NET] Cross-Site Scripting(XSS) 防範,白名單輸入驗證
https://shaurong.blogspot.com/2019/06/aspnet-cross-site-scriptingxss.html

[研究] X-XSS Protection
https://shaurong.blogspot.com/2017/06/x-xss-protection.html

[研究][ASP.NET][C#]Fortify SCA 報告 Eval()有 Cross-Site Scripting: Persistent解法
https://shaurong.blogspot.com/2020/10/aspnetcfortify-sca-eval-cross-site.html

[研究] Fortify SCA 19.10 與 jquery-3.3.1-vsdoc.js, line 812 (Dynamic Code Evaluation Code Injection)
https://shaurong.blogspot.com/2019/07/fortify-sca-1910-jquery-331-vsdocjs.html

[研究] Fortify SCA 報告 Web.Config 連線資訊有 Insecure Transport: Database 問題
https://shaurong.blogspot.com/2018/12/fortify-sca-webconfig.html

[研究][ASP.NET] Fortify SCA v17.20 報告 Web.config ( Insecure Transport: Datbase) Critical 問題
https://shaurong.blogspot.com/2018/04/aspnet-fortify-sca-v1720-webconfig.html

[研究][JavaScript] CKeditor 4.9.1 與 Fortify SCA v17.20
https://shaurong.blogspot.com/2018/04/javascript-ckeditor-491-fortify-sca.html

[研究][ASP.NET][JavaScript] hideShowPassword 與 Fortify SCA 白箱測試
https://shaurong.blogspot.com/2018/04/aspnetjavascript-hideshowpassword.html



1 則留言:

  1. 今天弱掃後也跑出這個地方有問題,來試試看你的方法,希望可以成功,然後不管如何,先感謝提供一種方法了

    回覆刪除