Reflected XSS

작성자 hooya0011 프로그램 수산아이앤티

WEB 종료됨 낮음 보상없음 작성일: 2022년 2월 11일 (3년 전) 마지막 업데이트일: 2022년 3월 17일 (3년 전)

취약점 유형

XSS

상세내용

개요

[취약점 제보에 대한 개요를 작성해 주세요]

재현 과정

[취약점 재현을 하기 위한 과정을 서술해 주세요]

  1. [step1]
    https://www.soosanint.com/board/board_list.php?board_id=notice&search_type=title&searcher=1&cate_value=%22%3E%3Cimg%20src=%22X%22%20onerror=alert(document.domain)%3E
  2. [step2]
  3. [step3]

예상되는 취약점 발생 원인

[해당 취약점이 발생하는 예상 원인을 서술해 주세요]
입력값 검증 미흡으로 인해 발생합니다.

패치 방법

[해당 취약점을 패치하기 위한 대응 방법을 서술해 주세요]
"가 요청이 되면 \ 를 넣는걸로 끝나는 것이 아닌 특수문자 필터링 혹은 xss 에 사용되는 모든 이벤트 속성을 차단해야합니다.

예상 결과 및 파급력

[해당 취약점으로 인해 예상되는 결과 및 파급력을 서술해 주세요. 시나리오가 포함되어도 좋습니다.]
악성코드가 있는 웹 홈페이지 혹은 피싱사이트로 리다이렉션을 할 수 있습니다.

기타사항 및 레퍼런스

[그 외에 추가할 내용이 있다면 이곳에 작성해주세요.(스크린샷, 로그 등)]

  • [첨부파일 / 레퍼런스]

첨부파일

수산아이티_rxss.PNG

타임라인

hooya0011 님이 티켓을 제출했습니다. 2022년 2월 11일 (3년 전)
Steve BUGCAMP STAFF 님이 상태를 '제출됨'에서 '처리중'으로 변경했습니다. 2022년 2월 14일 (3년 전)

안녕하세요. 수산아이앤티 버그바운티 프로그램에 제보해주셔서 감사합니다.
제출해주신 티켓 확인 결과 Reflected XSS 취약점이 발현되는 것을 확인했습니다. 해당 티켓은 담당자에게 전달하겠습니다.

Steve BUGCAMP STAFF 님이 상태를 '처리중'에서 '종료됨'으로 변경했습니다. 2022년 2월 25일 (3년 전)

제보해주신 Reflected XSS 취약점 패치완료되었습니다.
해당 티켓은 핵티비티에 공개될 예정이며, 패치가 미흡한 경우 코멘트로 남겨주시면 참고하여 재패치하도록 하겠습니다.
수산아이앤티 프로그램에 유의미한 취약점을 제보해주셔서 진심으로 감사드립니다.

hooya0011 님이 댓글을 남겼습니다. 2022년 3월 16일 (3년 전)

패치 된 것 확인했습니다! 감사합니다!!

Steve BUGCAMP STAFF 님이 공개상태를 '비공개'에서 '전체공개'로 변경했습니다. 2022년 3월 17일 (3년 전)

조치 내용 확인해주셔서 감사드립니다. 해당 티켓의 공개 상태를 전체공개로 변경하도록 하겠습니다.