361 Star 3.4K Fork 1.5K

JEECG / JimuReport

 / 详情

版本1.3.795 ,关于报表查询页存在XSS漏洞攻击

已完成
创建于  
2021-12-21 10:20
版本号:1.3.795
问题描述:

报表生成页面,查询条件的输入框可进行 输入 js或其他sql代码 进行xss攻击,会出现下面图片的样子,系统过不了等保安全的测试,

错误日志&截图:

输入图片说明
输入图片说明

重现步骤:

1、部署;
2、设计报表页面;
3、输入类似:'><svg/onload=alert(1)> 这种代码,存在安全性问题,其他sql注入也一样:比如单引号(’)、select、%等、转码、过滤危险字符

友情提示(为了提高issue处理效率):

  • 积木报表是一款免费报表产品,功能免费源码不开放;
  • 未按格式要求发帖,会被直接删掉;
  • 请针对问题提供报表设计SQL脚本或在官网制作报表示例并提供ID;
  • 针对不好重现的问题,请录制操作视频或详细的重现步骤;

评论 (1)

denggang 创建了任务
JEECG 任务状态待办的 修改为已完成

登录 后才可以发表评论

状态
负责人
里程碑
Pull Requests
关联的 Pull Requests 被合并后可能会关闭此 issue
分支
开始日期   -   截止日期
-
置顶选项
优先级
参与者(2)
Java
1
https://gitee.com/jeecg/JimuReport.git
git@gitee.com:jeecg/JimuReport.git
jeecg
JimuReport
JimuReport

搜索帮助