Seguridad e inyeccion XSS en campos de usuario

Foros de discusión

Juan Carlos Toledo Baute, modificado hace 9 años.

Seguridad e inyeccion XSS en campos de usuario

Junior Member Mensajes: 50 Fecha de incorporación: 30/03/11 Mensajes recientes

Hola

Compruebo que la versión 6.1 CE cga2 permite inyección XSS, en concreto en los campos de usuario ($user_name).

Aplicado el parche de seguridad (6.1.1-ce-ga2-security-3.0) persiste el problema

Como no tengo clara si el parche esta bien aplicado. Hago una prueba el la 6.2 CE y compruebo que tambien lo permite.
No encuentto ningún LPS específico que lo resuelva. Entiendo que lo suyo es corregirlo antes de grabar los valores y no en la presentación.

Alguna idea de como solucionarlo.

Saludos y gracias

Manuel de la Peña, modificado hace 9 años.

RE: Seguridad e inyeccion XSS en campos de usuario

Junior Member Mensajes: 62 Fecha de incorporación: 6/07/11 Mensajes recientes

Hola Juan Carlos, gracias por tu aporte!

Lo que solemos hacer en estos casos es abrir un ticket en nuestro Jira (http://issues.lilferay.com) indicando los pasos para reproducir el problema que describes.

De todos modos, ¿puedes describir con más detalle en qué campos has descubierto el problema? De esta manera podemos aislar mejor el problema y darte una solución lo más certera posible.

Saludos!

Juan Carlos Toledo Baute, modificado hace 9 años.

RE: Seguridad e inyeccion XSS en campos de usuario

Junior Member Mensajes: 50 Fecha de incorporación: 30/03/11 Mensajes recientes

Hola

Lo he comprobado con los campos del usuario (nombre y apellidos). Que despues puedes utilizar en el tema con la variable ($user_name).

(Perdona por tardar en responder ....)

Saludos