【网络安全】Collabora在线存储型XSS(CVE-2024-29182)+代码审计

于 2024-09-03 19:39:12 发布
阅读量337 收藏 1
点赞数 12
分类专栏: 网络安全 文章标签: web安全 xss 漏洞挖掘 代码审计
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/141869952
版权

未经许可,不得转载。

文章目录

前言

Collabora 是一家专注于开源软件的公司,主要提供与文档协作、办公套件和企业解决方案相关的服务。

Collabora 提供了 Collabora Online,这是一个基于 Web 的在线办公套件,允许用户在浏览器中实时编辑文档。这种服务特别适合团队协作和远程工作,可以与各种云存储服务集成,如 Nextcloud、ownCloud 和其他企业云解决方案。

正文

与大多数文档解决方案类似,Collabora 提供了交叉引用功能。该功能允许用户引用其他页面上的文档部分内容,并能自动更新这些引用。当我们将鼠标悬停在引用上时,会出现一个工具提示菜单,显示有关引用内容的更多上下文信息。

在这里插入图片描述

为了探究将鼠标悬停在引用上时会发生什么,我们使用 BurpSuite 开始拦截网络流量。将鼠标悬停在引用上时,浏览器会通过 WebSocket 发送一条消息,该消息包含我们设定的工具提示内容:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
  • 12
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
SpringBoot实战(二十八)集成 Collabora Online 实现在线编辑
ACGkaka的博客
07-03 1322
SpringBoot实战(二十八)集成 Collabora Online 实现在线编辑
centos7-collabora-office
dadashitou的博客
06-04 391
4.curl -s http://localhost:9980/hosting/discovery 出现xml内容, 证明软件安装成功了。false #禁止ssl ,禁用https。centos7下安装collabora-office。localhost #设置允许的域名。5. 配置nginx。
collabora/code 文档在线服务
usdnfo的专栏
12-13 1549
docker run -t -d -p 8080:9980 --restart always collabora/code
owncloud+collabora 实现网盘在线预览
第一天
01-09 3610
第一步 安装docker拉取镜像 docker pull owncloud docker pull collabora/codedocker run --name collabora -t -d -p 9980:9980 -e 'domain=cloud\\.que360\\.com|yun\\.que360\\.com' -e "username=admin" -e "password=1234
使用Docker-compose安装NextCloud,并部署Collabora作为office服务
u013568040的博客
03-21 1万+
使用Docker-compose安装NextCloud,并部署Collabora作为office服务 安装Docker和docker-compose 使用docker-compose可以更快速的构建nextcloud需要的各个服务 准备域名,启用SSL 2个子域名,分别用于Collabora Office和Nextcloud,且两个域名均拥有合法SSL证书,通过备案后在云服务商申请免费证书即可,证书授权一年。 例如: nextcloud.eeeeeee.com用于访问Nextcloud,collabora.
Docker 部署在线文件转换服务--Libre Office Online
热门推荐
AMimiDou_212
04-26 1万+
Docker 部署在线文件转换服务--Libre Office Online简述一、Docker 部署1. Docker 离线安装2. Docker 加入开机自启与配置2.1 查看安装的Docker CE 版本:2.2 修改 `docker.service` 启动文件2.2.1 修改远程连接的方式,安全起见,将 `-H tcp://0.0.0.0 ` 修改为本地指定的IP与Port,添加Socke...
使用Docker搭建NextCloud私人云盘+Collabora文件预览编辑
wFitting的博客
03-07 7678
使用Docker搭建NextCloud私人云盘+Collabora文件预览编辑前言开始搭建编写docker-compose.yml文件ngxin.conf启动容器NextCloud配置接下来配置文件预览服务启动collabora预览服务在nextCloud中配置collabora结尾 前言 今天在看头条的时候,看到了一篇文章,名为《Python3+服务器搭建私人云盘》的文章,看着感觉还不错,也不是...
SIGIR‘19 | 图神经网络协同过滤算法-Neural Graph Collaborative Filtering
paper_reader的博客
07-21 4008
阅读更多,欢迎关注公众号:论文收割机(paper_reader) 因为排版问题,很多图片和公式无法直接显示,欢迎关注我们的公众号点击目录来阅读原文。 Wang X, He X, Wang M, et al. Neural Graph Collaborative Filtering[J]. arXiv preprint arXiv:1905.08108, 2019. 引言 ...
centos7 部署collabora office (yum版 与 docker)
oToyix的博客
12-29 4964
collabora office 是一款在线文档编辑工具,经常与Nextcloud相结合,这里只介绍单独的collabora office 一、非docker部署 1、时间更新 tzselect 分别按5 9 1 1 然后 cp -r /usr/share/zoneinfo/Asia/Shanghai /etc/localtime yum install ntp -y ntpdate asia.pool.ntp.org crontab -e */10 * * * * ntpdate asi
信息安全_数据安全_Thomas-CALL FOR CLOSER COLLABORA.pdf
08-22
标题中提到的“信息安全_数据安全_Thomas-CALL FOR CLOSER COLLABORA”表明本文档的焦点在于信息安全和数据安全领域,特别是由某位名为Thomas的作者提出的关于加强协作的倡议。信息安全和数据安全是IT安全领域的两大...
ansible-role-collabora-code:该角色将安装和配置Collabora Online Development Edition
04-29
Ansible角色:协作代码 | 该角色将安装和配置Collabora Online Development Edition。 Collabora在线开发版(CODE)是将LibreOffice作为Web服务的不错的工具。 动机 与Nextcloud很好地集成;) 安装 从安装 ansible-...
synology-collabora-CODE:collaboraCODE用于Synology的Docker容器
03-19
Synology合作/ CODE 用于停用seccomp的synology的collabora / CODE Docker容器
richdocuments::notebook_with_decorative_cover:适用于Nextcloud的Collabora Online
03-22
在线合作 将Collabora Online集成到您的Nextcloud中的应用程序! 开发设置 只需将此克隆到您的apps目录中(需要安装)。 另外,需要和来安装JavaScript依赖关系和构建前端代码。 一旦安装了npm和Node.js,可以通过...
网络安全漏洞挖掘
anquan2233的博客
08-29 1333
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
人工智能在网络安全领域的应用探索
A526847的博客
08-29 1219
随着网络技术的飞速发展,网络安全问题日益凸显,成为制约数字化进程的重要瓶颈。人工智能(AI)作为一种变革性技术,正逐步在网络安全领域展现出其巨大的潜力和价值。本文旨在探讨人工智能在网络安全领域的应用现状、优势、挑战及未来发展趋势。
入门网络安全工程师要学习哪些内容
最新发布
白帽子佳奇的博客
08-30 923
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
网络安全售前入门07安全服务——主机漏洞扫描服务方案
打工人
08-30 655
漏洞扫描服务主要针对系统层、网络层、数据层、应用层进行安全评估,即对客户使用系统的运行环境进行安全评估。
Oracle 网络安全产品安全认证检索
In-Memory Computing Technology
08-30 499
列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。Oracle Zero Data Loss Recovery Appliance (ZDLRA)属于此类,ZDLRA RA23于2024年7月通过网络安全专用产品安全检测,标志着这款产品完全符合中国政府对于安全产品的要求,包括技术及供应链安全要求。检测结果已在网信办官网上发布。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值