Fix security issue : xss

Isshu Rakusai · Isshu Rakusai · commit e713f69d60eb · 2013-03-27T19:25:01.000+09:00
diff --git a/nota/default/nota.pl b/nota/default/nota.pl
@@ -259,6 +259,7 @@ sub nota_validate
 	if ($option eq "path"){
 		#ファイル名であるか（特にスラッシュの混入を防ぐ）
 		$text =~ s/(:|;|\/|\\|\r|\n)//g;
+		$text =~ s/^[\.]*//g;
 		$text =~ s/[\x00-\x08\x0B-\x1F]//g; #制御コードを消去
 	}
 	elsif ($option eq "uri" || $option eq "url"){
diff --git a/nota/default/read.cgi b/nota/default/read.cgi
@@ -40,6 +40,10 @@ sub main
 	if (!defined($page) || $page eq ""){
 		$page = 'home';
 	}
+
+	#バリデーション
+	&nota_validate($page);
+
 	#ログイン情報の取得
 	local $login = NOTA::Login->new;
 	$login->getlogin(\%COOKIE);

Original file line number	Diff line number	Diff line change
`@@ -259,6 +259,7 @@ sub nota_validate`
`259`	`259`	`if ($option eq "path"){`
`260`	`260`	`#ファイル名であるか（特にスラッシュの混入を防ぐ）`
`261`	`261`	`$text =~ s/(:\|;\|\/\|\\\|\r\|\n)//g;`
	`262`	`+ $text =~ s/^[\.]*//g;`
`262`	`263`	`$text =~ s/[\x00-\x08\x0B-\x1F]//g; #制御コードを消去`
`263`	`264`	`}`
`264`	`265`	`elsif ($option eq "uri" \|\| $option eq "url"){`