XSSの脆弱性があると報告を受けた件

XSSの脆弱性があると報告を受けた件

- koooootaro mooooodle の投稿
返信数: 7

はじめまして、よろしくお願いいたします。

早速ですが、質問が2点あります。

①セキュリティ診断の結果、XSSの脆弱性があるという報告を受けました。アカウント表示機能のurlにスクリプトの埋め込みができる等…

 moodleをバージョンすると改善されているのでしょうか。もしくは、他の対策はございますか。moodle3.8.3を使用しています。

②アカウント登録フォームに都道府県名を入力する欄がありますが、これらを非表示(削除)することは可能でしょうか。

以上、よろしくお願いいたします。

評点平均: -
koooootaro mooooodle への返信

Re: XSSの脆弱性があると報告を受けた件

- Mitsuhiro Yoshida の投稿
画像 Developers 画像 Particularly helpful Moodlers 画像 Translators

> もしくは、他の対策はございますか。

ModSecurity (https://www.modsecurity.org/) の導入ではいかがでしょうか。

> アカウント登録フォームに都道府県名を入力する欄がありますが、これらを非表示(削除)することは可能でしょうか。

可能です。

Sebastian Venckenさんの以下の投稿が参考になるかと思います。

[oodle in English: Cannot hide 'city' and 'country' in registration form]
https://moodle.org/mod/forum/discuss.php?d=368664#p1488154

評点平均: -
Mitsuhiro Yoshida への返信

Re: XSSの脆弱性があると報告を受けた件

- koooootaro mooooodle の投稿
ご返信ありがとうございます。

①については、アドバイス頂いたWAFの導入を検討してみます。

②登録フォームについては、更問させてください。
 アドバイスいただいたページを確認しましたが、対応方法がわかりません・・・

下記のcssを何処かのcustom.cssに追記するのでしょうか?
私が運営するWebサイトでは、adaptableを適用しています。

#page-login-signup .fcontainer .form-group:nth-child(5) {
display: none;
}
#page-login-signup .fcontainer .form-group:nth-child(6) {
display: none;
}

以上、お忙しいところ恐縮ですが、よろしくお願いいたします。
評点平均: -
koooootaro mooooodle への返信

Re: XSSの脆弱性があると報告を受けた件

- Mitsuhiro Yoshida の投稿
画像 Developers 画像 Particularly helpful Moodlers 画像 Translators

テーマAdaptableでしたら以下の手順で当該CSSを適用できるかと思います。

  1. Moodleにサイト管理者としてログインする。
  2. 「管理 > サイト管理 > アピアランス > テーマ > Adaptable」に移動する。
  3. 「Apply your own modifications」セクションに移動する。
  4. 「Custom CSS theme_adaptable」テキストエリアにSebastian VenckenさんのCSS※1を入力する。
  5. ページ最下部の「変更を保存する」ボタンをクリックする。
※1 Sebastian VenckenさんのCSS
#page-login-signup .fcontainer .form-group:nth-child(5) {
display: none;
}
#page-login-signup .fcontainer .form-group:nth-child(6) {
display: none;
}
添付 Adaptable Custom CSS.png
評点平均: -
Mitsuhiro Yoshida への返信

Re: XSSの脆弱性があると報告を受けた件

- koooootaro mooooodle の投稿
早速のご返答ありがとうございます。

頂いた手順で実行しましたが、うまく動作しません。私の説明不足で申し訳ありませんが
Sebastian VenckenさんのCSSを使うと下記の出力画面上で表示されるフォームの修正ができるで認識合いますでしょうか。

<新規アカウント追加>
サイト管理 > ユーザ > アカウント > 新しいユーザを追加する

<既存アカウント編集>
ユーザ > TestUser > プリファレンス > ユーザアカウント > プロファイルを編集する


添付 form.PNG
評点平均: -
koooootaro mooooodle への返信

Re: XSSの脆弱性があると報告を受けた件

- Mitsuhiro Yoshida の投稿
画像 Developers 画像 Particularly helpful Moodlers 画像 Translators

> Sebastian VenckenさんのCSSを使うと下記の出力画面上で表示されるフォームの修正ができるで認識合いますでしょうか。

Sebastian VenckenさんのCSSでは本投稿の添付画像のように「Eメールによる自己登録」が有効にされたMoodleサイトで「新しいアカウントを作成する」ボタンをクリックした場合に表示される「アカウント登録フォーム」の都道府県および国を非表示にします。

添付 New account.png
評点平均: -
Mitsuhiro Yoshida への返信

Re: XSSの脆弱性があると報告を受けた件

- koooootaro mooooodle の投稿
承知いたしました。

こちらの質問に対して、ご親切にご回答いただき
誠にありがとうございます。

今後ともよろしくお願いいたします。
評点平均: -
koooootaro mooooodle への返信

Re: XSSの脆弱性があると報告を受けた件

- Mitsuhiro Yoshida の投稿
画像 Developers 画像 Particularly helpful Moodlers 画像 Translators

「新規アカウント追加」「既存アカウント編集」の2箇所でしたら、以下の手順で「都道府県」を非表示にできるかと思います。

  1. Moodleにサイト管理者としてログインする。
  2. 「管理 > サイト管理 > アピアランス > テーマ > Adaptable > Custom CSS & JS」に移動する。
  3. 「Custom CSS theme_adaptable」テキストエリアに「都道府県」を消すためのCSS※1を入力する。
  4. ページ下部の「変更を保存する」ボタンをクリックする。
※1 「都道府県」を消すためのCSS
#fitem_id_city {
  display: none;
}
評点平均: -