Drupal 6/ Views /XSS注入

Question

首先，让我首先说我以前从未与Drupal合作过。我从来没有看过它。所以，如果我问的是显而易见的或基本的问题，请原谅我。

昨天，我们通过一位非常友好的客户通知我们，在我们的一个网站上有一次潜在的SQL注入/ XSS攻击(我说的“我们”指的是一个由营销团队运营的网站，与IS或DBA小组的互动很少)。经过观察和测试，它确实是一个问题，我的任务是着手解决这个问题。

截图时间！

问题所在。

未转义的用户输入。

然后在实际的网页上吐出：

现在，从我与管理这个问题的营销团队的谈话中收集到的信息来看，Drupal中有一个视图的概念，他们用它来构建这个查询。我仔细研究了一下，下面是我看到的这一页的内容。

现在，我不确定这个筛选器参数是否与视图相关，或者这是否是一些我不知道的独立功能。有谁能更精通Drupal，指出正确的方向，以逃避这个输入。我本来希望我能打开一个查询，并在参数上抛出一个转义函数，但现在看来我还得再深入一点。

Answer 1

我会检查您的版本，drupal会告诉您当前版本是否有任何安全声明。登录并进入/admin/reports/状态

另一件值得注意的是，您应该查看页面显示(左侧顶部的第二个链接)，我不确定您是否有一个SQL注入，<bad%只是查询中的一个字符串，在药物内部有大量的过滤。