osCommerce 日本語版

[Tep-j-general] クレジットカード・モジュールの脆弱性？

Hajime Yamamoto yamam****@ytw*****
2005年 12月 10日 (土) 23:19:59 JST

• 前の記事 [Tep-j-general] Re: 商品名に 2006 年と書くとバグってしまいます。
• 次の記事 [Tep-j-general] Re: クレジットカード・モジュールの脆弱性？
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

山本と申します。

osCommerce のクレジットカード・モジュール
で「クレジットカード所有者」のサニタイズが
ないのでスクリプト・インサーションが可能
です。

どれ程、危ないか分かりませんが、
以下の修正が必要と思います。

catalog/includes/modules/payment/cc.php の

function confirmation() {
global $HTTP_POST_VARS;

の後に

$HTTP_POST_VARS['cc_owner'] =
htmlspecialchars($HTTP_POST_VARS['cc_owner'], ENT_QUOTES);

を挿入。

catalog/checkout_process.php の

'cc_owner' => $order->info['cc_owner'], 　を

'cc_owner' => htmlspecialchars($order->info['cc_owner']),

に変更。

-- 

• 前の記事 [Tep-j-general] Re: 商品名に 2006 年と書くとバグってしまいます。
• 次の記事 [Tep-j-general] Re: クレジットカード・モジュールの脆弱性？
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]