Статический анализ уязвимостей все что связано с htmlspecialcharsbx решил
как остальные решить
Cross-Site Scripting
Файл: /extranet/lector/ajax_del_publication.php90: echo '</td><td><button type="button" class="pubbtn" href="jav * ascript:void(0)" oncl ick="DelPublication(' . $arFields['ID'] . ',' . $_POST['user_id'] . ');">Удалить публикацию</button></td>'
Необходимые условия:
Cross-Site Scripting
Файл: /extranet/lector/ajax_add_publication.php86: echo '</td><td><button type="button" class="pubbtn" href="jav * ascript:void(0)" oncl ick="DelPublication(' . $arFields['ID'] . ',' . $_POST['user_id'] . ');">Удалить публикацию</button></td>'
Необходимые условия:
Выполнение произвольных команд
Файл: /extranet/dispetcher/ajax_contract_compile.php7: $filename = "contract_" . $kaf_id_zup . "_" . $user_id . "_tutor"
23: exec('cd ' . $_SERVER['DOCUMENT_ROOT'] . '/bitrix/components/ulstu/pozhelanya.form/tex/; /usr/bin/pdflatex --shell-escape --synctex=1 -output-directory ' . $_SERVER['DOCUMENT_ROOT'] . '/upload/ulstu/student_course_contracts --interaction batchmode ' . $filename . '.tex',$r)
Аналогично:
28: print "<a href='/upload/ulstu/student_course_contracts/$filename.pdf'>Загрзите бланк договора ГПХ</a> "
Выполнение произвольных команд
Файл: /extranet/lector/pozhelanya/ajax_contract_compile.php116: $filename = "contract_" . $kaf_id_zup . "_" . $user_id . "_tutor"
143: exec('cd ' . $_SERVER['DOCUMENT_ROOT'] . '/bitrix/components/ulstu/pozhelanya.form/tex/; /usr/bin/pdflatex --shell-escape --synctex=1 -output-directory ' . $_SERVER['DOCUMENT_ROOT'] . '/upload/ulstu/student_course_contracts --interaction batchmode ' . $filename . '.tex',$r)
Аналогично:
148: print "<a href='/upload/ulstu/student_course_contracts/$filename.pdf'>Загрузите бланк договора ГПХ</a>"
Cross-Site Scripting
Файл: /extranet/heads/shtaty/ajax_get_parent_hours.php8: $fields = getiblockelement($ib_id)
9: echo $fields['PROPERTIES']['CHASY']['VALUE']
Необходимые условия:6: if(CModule::includemodule("iblock"))
Cross-Site Scripting
Файл: /extranet/heads/shtaty/sotrudnik_search_ones.php16: $kaf_id = $_GET['kaf_id']
77: echo '<a href="jav * ascript: submit_select_sotrudnik_Form(\'' . $kaf_id . '\')">Выбрать</a> </form>'
Необходимые условия:4: if(CModule::includemodule("iblock"))
43: if((is_array($result->return->fls)) || ($result->return->fls->SecName))
Аналогично:
80: echo '<form action="#n" name="theFormadd"> <label for="gender">Сотрудник не найден! </label><br> <a href="jav * ascript: submit_add_sotrudnik_Form(\'' . $kaf_id . '\')">Добавить нового?</A> <br> Для добавления нового сотрудника заполните все поля формы! </form>'
Cross-Site Scripting
Файл: /extranet/heads/shtaty/init_action.php8: echo '<a title="Создать новый расчет штатов" class="sidebar-button" href="jav * ascript:void(0)" oncl ick="ShowForm_add_popup(\'' . $_GET['kaf_id'] . '\', ' . $_GET['kaf_name'] . ' , ' . $_GET['creator_id_univ'] . ');"> <span class="sidebar-button-top"><span class="corner left"></span><span class="corner right"></span></span> <span class="sidebar-button-content"><span class="sidebar-button-content-inner"> <i class="sidebar-button-create"></i><b>Новое распределение</b></span></span><span class="sidebar-button-bottom"><span class="center"></span><span class="corner right"></span></span></a> <div class="square2" id="' . $_GET['kaf_id'] . '">'
Необходимые условия:3: if(CModule::includemodule("iblock")) - вот этого типа если с помощью того htmlspecialcharsbx то приведите пример по ошибкам выше
как остальные решить
Cross-Site Scripting
Файл: /extranet/lector/ajax_del_publication.php90: echo '</td><td><button type="button" class="pubbtn" href="jav * ascript:void(0)" oncl ick="DelPublication(' . $arFields['ID'] . ',' . $_POST['user_id'] . ');">Удалить публикацию</button></td>'
Необходимые условия:
Cross-Site Scripting
Файл: /extranet/lector/ajax_add_publication.php86: echo '</td><td><button type="button" class="pubbtn" href="jav * ascript:void(0)" oncl ick="DelPublication(' . $arFields['ID'] . ',' . $_POST['user_id'] . ');">Удалить публикацию</button></td>'
Необходимые условия:
Выполнение произвольных команд
Файл: /extranet/dispetcher/ajax_contract_compile.php7: $filename = "contract_" . $kaf_id_zup . "_" . $user_id . "_tutor"
23: exec('cd ' . $_SERVER['DOCUMENT_ROOT'] . '/bitrix/components/ulstu/pozhelanya.form/tex/; /usr/bin/pdflatex --shell-escape --synctex=1 -output-directory ' . $_SERVER['DOCUMENT_ROOT'] . '/upload/ulstu/student_course_contracts --interaction batchmode ' . $filename . '.tex',$r)
Аналогично:
28: print "<a href='/upload/ulstu/student_course_contracts/$filename.pdf'>Загрзите бланк договора ГПХ</a> "
Выполнение произвольных команд
Файл: /extranet/lector/pozhelanya/ajax_contract_compile.php116: $filename = "contract_" . $kaf_id_zup . "_" . $user_id . "_tutor"
143: exec('cd ' . $_SERVER['DOCUMENT_ROOT'] . '/bitrix/components/ulstu/pozhelanya.form/tex/; /usr/bin/pdflatex --shell-escape --synctex=1 -output-directory ' . $_SERVER['DOCUMENT_ROOT'] . '/upload/ulstu/student_course_contracts --interaction batchmode ' . $filename . '.tex',$r)
Аналогично:
148: print "<a href='/upload/ulstu/student_course_contracts/$filename.pdf'>Загрузите бланк договора ГПХ</a>"
Cross-Site Scripting
Файл: /extranet/heads/shtaty/ajax_get_parent_hours.php8: $fields = getiblockelement($ib_id)
9: echo $fields['PROPERTIES']['CHASY']['VALUE']
Необходимые условия:6: if(CModule::includemodule("iblock"))
Cross-Site Scripting
Файл: /extranet/heads/shtaty/sotrudnik_search_ones.php16: $kaf_id = $_GET['kaf_id']
77: echo '<a href="jav * ascript: submit_select_sotrudnik_Form(\'' . $kaf_id . '\')">Выбрать</a> </form>'
Необходимые условия:4: if(CModule::includemodule("iblock"))
43: if((is_array($result->return->fls)) || ($result->return->fls->SecName))
Аналогично:
80: echo '<form action="#n" name="theFormadd"> <label for="gender">Сотрудник не найден! </label><br> <a href="jav * ascript: submit_add_sotrudnik_Form(\'' . $kaf_id . '\')">Добавить нового?</A> <br> Для добавления нового сотрудника заполните все поля формы! </form>'
Cross-Site Scripting
Файл: /extranet/heads/shtaty/init_action.php8: echo '<a title="Создать новый расчет штатов" class="sidebar-button" href="jav * ascript:void(0)" oncl ick="ShowForm_add_popup(\'' . $_GET['kaf_id'] . '\', ' . $_GET['kaf_name'] . ' , ' . $_GET['creator_id_univ'] . ');"> <span class="sidebar-button-top"><span class="corner left"></span><span class="corner right"></span></span> <span class="sidebar-button-content"><span class="sidebar-button-content-inner"> <i class="sidebar-button-create"></i><b>Новое распределение</b></span></span><span class="sidebar-button-bottom"><span class="center"></span><span class="corner right"></span></span></a> <div class="square2" id="' . $_GET['kaf_id'] . '">'
Необходимые условия:3: if(CModule::includemodule("iblock")) - вот этого типа если с помощью того htmlspecialcharsbx то приведите пример по ошибкам выше