Skip to content

Zabezpieczenie formularza do dodawania książek, podatność XSS #63

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Open
igamiron wants to merge 3 commits into
base: main
Choose a base branch
from
Open

Zabezpieczenie formularza do dodawania książek, podatność XSS #63

igamiron wants to merge 3 commits into from

Conversation

@igamiron
Copy link

@igamiron igamiron commented Nov 10, 2025

Cross-Site Scripting

Gdzie: Formularz dodawania książki: POST /books/create/
Możliwe było wprowadzenie złośliwego kodu JavaScript w polu Name. W tym przypadku <script>alert("hacked_by_xss")</script>, który był zapisywany i wykonywany po odświeżeniu strony.

Sposób odtworzenia:

  • Uruchomienie aplikacji
  • Wejść na stronę http://localhost:5000/books/
  • Kliknąć Add new book
  • W polu name wpisać: <script>alert("hacked_by_xss")</script>
  • Po dodaniu książki wyświetla się alert co dowodzi, że złośliwe oprogramowanie wykonało się.
Zrzut ekranu 2025-11-10 o 18 16 05 PM Zrzut ekranu 2025-11-10 o 18 14 10 PM

Zaproponowane rozwiązanie

W pliku: project/books/views.py, w funkcji create_book() użyto markupsafe.escape.
Zastosowano:

name = escape(request.form.get('name'))

author = escape(request.form.get('author'))

year_published = escape(request.form.get('year_published'))

book_type = escape(request.form.get('book_type’))

Taki kod finalnie nie będzie wykonywalny, ponieważ jest zapisywany jako zwykły tekst.
Po ponownym
Zrzut ekranu 2025-11-10 o 18 16 05 PM

Zrzut ekranu 2025-11-10 o 18 46 07 PM Zrzut ekranu 2025-11-10 o 18 47 42 PM

Po zapisaniu alert się nie pojawia, a rekord zostaje pusty.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@igamiron