[研究][ASP.NET]Fortify Static Code Analyzer (SCA) 報告tmpFrameset.html有Open Redirect問題
2021-07-12
********************************************************************************
function doLoadScript( url )
{
if ( !url || typeof url !== 'string' )
return false ;
var s = document.createElement( "script" ) ;
s.type = "text/javascript" ;
s.src = url ;
document.getElementsByTagName( "head" )[ 0 ].appendChild( s ) ;
return true ;
} |
這是 3rd Party 套件,非自行撰寫的 Code;注意,一但ckeditor更新,被修改的又會覆蓋回來。
********************************************************************************
2021-08-15
突發奇想,參考這篇寫個小程式 ( 目前 ckeditor 是 4.16.2 版)
[研究][ASP.NET][JavaScript] ckeditor-full v4.9.2 試用(NuGet安裝)
http://shaurong.blogspot.com/2018/06/aspnetjavascript-ckeditor-full-v492.html
把 tmpFrameset.html 改名 tmpFrameset.html_,測試了一下,ckeditor 似乎仍能正常運作,那 tmpFrameset.html 不是必須?它又是甚麼?它在 plugins 下的 wsc,所以 Google "wsc ckeditor",可能是 WebSpellChecker Dialog
https://ckeditor.com/cke4/addon/wsc
按下 Dowload 按鈕下載了 wsc_4.16.2.zip,解壓果然 tmpFrameset.html 在其中,
在方案的 \Scripts\ckeditor\plugins\wsc\README.md 檔案內容中看到 wsc 啟用方法
2. Enable the "wsc" plugin in the CKEditor configuration file (config.js):
config.extraPlugins = 'wsc';
檢視 \Scripts\ckeditor\config.js 檔案內容沒看到那行,表示根本沒有啟用,所以 \Scripts\ckeditor\plugins 之下的整個 wsc 目錄是可以砍掉的。
********************************************************************************
2021-08-15
既然 ckeditor-full 有些根本沒啟用,是否 NuGet 安裝 ckeditor-standard 就好?實際測試,還是包含 tmpFrameset.html。
********************************************************************************
2021-08-15
再另建一個方案,NuGet 安裝 ckeditor-basic就好,實際測試,還是包含 tmpFrameset.html。
********************************************************************************
2021-08-15
[研究] ckeditor full, standard, basic 版的差別
https://shaurong.blogspot.com/2021/08/ckeditor-full-standard-basic.html
********************************************************************************
2021-08-15
安裝 ckeditor-full,config.js 中沒有特別去設定啟用 wsc,但是實際上是可用的。
不過如果把 wsc 目錄砍了,底下 4個選項永遠是灰色,不能切換。
********************************************************************************
2021-08-15
實際測試,ASP.NET WebForm WebApplication 方案只要 NuGet 安裝 ckeditor,就算沒有實際使用 ckeditor,tmpFrameset.html 仍會被掃出有問題。
把 tmpFrameset.html 改名 tmpFrameset.html_,啟動 Fortify SCA ScanWizard 重新建立新的 .BAT 去掃,這次沒發現了。但不會像 wsc 目錄整個砍掉後,「啟用即時拼寫檢查」下的4個選項會永遠灰色;但只改名這個檔案,「啟用即時拼寫檢查」下的4個選項仍可啟用。
(完)
相關
[研究][ASP.NET]Fortify Static Code Analyzer (SCA) 報告Open Redirect
https://shaurong.blogspot.com/2021/07/aspnetfortify-sca-open-redirect.html
[研究][ASP.NET]Fortify SCA 報告Password Management: Empty Password 和 Hardcoded Password
http://shaurong.blogspot.com/2021/07/aspnetfortify-sca-password-management.html
[研究][ASP.NET]Fortify Static Code Analyzer (SCA) 報告從資料庫取得資料直接顯示於 Label 可能 Cross-Site Scripting: Persistent (XSS)
https://shaurong.blogspot.com/2021/07/aspnetfortify-static-code-analyzer-sca.html
[研究] Microsoft Anti-XSS Library V4.3 (Anti-Cross Site Scripting Library) 與 AntiXssEncoder.HtmlEncode
http://shaurong.blogspot.com/2017/06/microsoft-anti-xss-library-v43-anti.html
[研究] Microsoft Anti-XSS Library V4.3 (Anti-Cross Site Scripting Library)
https://shaurong.blogspot.com/2017/06/microsoft-anti-xss-library-v43-anti.html
AntiXssEncoder.HtmlEncode 方法 (System.Web.Security.AntiXss) | Microsoft Docs
https://docs.microsoft.com/zh-tw/dotnet/api/system.web.security.antixss.antixssencoder.htmlencode?view=netframework-4.8
[研究][ASP.NET] 用了 AntiXssEncoder.HtmlEncoder 仍被 Fortify SCA v17.20 說有問題
https://shaurong.blogspot.com/2018/04/aspnet-antixssencoderhtmlencoder.html
[研究] [ASP.NET] DropDownList1 的 Cross-site scripting (XSS) (Reflected XSS) 修正
https://shaurong.blogspot.com/2017/09/aspnet-dropdownlist1-cross-site.html
[研究] [ASP.NET] Cross-Site Scripting(XSS) 防範,白名單輸入驗證
https://shaurong.blogspot.com/2019/06/aspnet-cross-site-scriptingxss.html
[研究] X-XSS Protection
https://shaurong.blogspot.com/2017/06/x-xss-protection.html
[研究][ASP.NET][C#]Fortify SCA 報告 Eval()有 Cross-Site Scripting: Persistent解法
https://shaurong.blogspot.com/2020/10/aspnetcfortify-sca-eval-cross-site.html
[研究] Fortify SCA 19.10 與 jquery-3.3.1-vsdoc.js, line 812 (Dynamic Code Evaluation Code Injection)
https://shaurong.blogspot.com/2019/07/fortify-sca-1910-jquery-331-vsdocjs.html
[研究] Fortify SCA 報告 Web.Config 連線資訊有 Insecure Transport: Database 問題
https://shaurong.blogspot.com/2018/12/fortify-sca-webconfig.html
[研究][ASP.NET] Fortify SCA v17.20 報告 Web.config ( Insecure Transport: Datbase) Critical 問題
https://shaurong.blogspot.com/2018/04/aspnet-fortify-sca-v1720-webconfig.html
[研究][JavaScript] CKeditor 4.9.1 與 Fortify SCA v17.20
https://shaurong.blogspot.com/2018/04/javascript-ckeditor-491-fortify-sca.html
[研究][ASP.NET][JavaScript] hideShowPassword 與 Fortify SCA 白箱測試
https://shaurong.blogspot.com/2018/04/aspnetjavascript-hideshowpassword.html
今天弱掃後也跑出這個地方有問題,來試試看你的方法,希望可以成功,然後不管如何,先感謝提供一種方法了
回覆刪除