邪恶的xwiki

最新推荐文章于 2023-03-09 11:25:52 发布
最新推荐文章于 2023-03-09 11:25:52 发布
阅读量609 收藏
点赞数
文章标签: Hibernate SVN SQL velocity 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d8111/article/details/83642238
版权

一个不错的开源wiki,功能很多,但是真的太复杂。。。

 

velocity的页面模板,复杂的hibernate封装,导致代码级别的修改成本非常高!

 

访问其网站,发现美其名曰开源,其实是有提供商业支持服务的,开源出来的东东并不完美,而且修改的代价。。确实很高,很高。。。仅仅一个search框的xss,都找不到去哪里过滤他.

 

下图是我在其官方网站上做的测试,当然下面还有更离谱的事情展示:


 

 

 

这里是bug库搜索发现,早在2007年就有开发者反馈到这个问题,并提交svn修改代码。


 

。可是跟进去一看,哥傻眼了。简单的把replace换成replaceAll,居然号称解决,而且这个问题居然就成了fixed状态。

 

 

 

 

 

看来还是要自己动手:分析整个过程

1. httpwatch看了一下请求串,发现参数做了URIencoding,问题不大。

2.跟踪了一下hibernate产生的sql,发现'&%之类的sql注入已经被处理过,pass。

3.定位问题为请求串未经过转义,直接输出页面上了。  处理 < > / 几个特殊符号,将其转义。

 

 

4.编辑页面,发现页面的title居然也是动态,直接引用请求参数,于是去掉之。

宋玮-深圳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
叉叉助手小精灵版
04-05
叉叉小精灵是叉叉脚本为开发者提供的独立应用加密打包服务,自定义icon和应用名称,制作专属开发者自己的脚本应用APP
xxx2xxx转换工具邪恶八进制收集整理上传专用主题(不断更新)https://forum.eviloctal.com/viewthread.php?tid=14426
热门推荐
xu的blog
05-26 11万+
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)以前是使用大压缩包来上传 但是发觉其实很不方便第一 压缩包体积过大 上传更新时间耗费很大第二 此外很多的朋友其实只是缺其中几样 没必要全部下下来综上所述 因此专门开这么一个主题用来不定期更新xxx2xxx类的转换工具考虑到有些朋友需要完整下载 原来的主题将保留附件和主题 但是将不再更新一切今后的更新以本主题更新为准[转载]x
Hacker defender 中文使用说明
蓝法典的专栏
05-12 2521
文章译者:ZiQi [E.S.T]信息来源:邪恶八进制安全小组(www.eviloctal.com)才疏学浅,不便之处,还请多多包涵。=============[Hacker defender -中文使用说明]================NT Rootkit----------作者: Holy_Father Ratter/29A 版本: 1.0.0开发日期: 01.01.2004网站: htt
XWIKI的搭建
weixin_34249678的博客
11-03 440
2019独角兽企业重金招聘Python工程师标准>>> ...
使用开源软件XWIKI搭建公司内部WIKI系统
weixin_33754065的博客
01-19 2124
一 应用背景描述 在平时的运维工作中,把常规工作进行文档整理非常重要,无论是平时工作处理或是工作交接,实时的维护文档资料可以提高工作效率。如果采用传统的TXT文档或者Word文档来记录的话修改不太方便,采用在线WIKI可以更好的让大家实时地查看或者修改文档资料。 Wiki系统做得比较好的是Confluence,但是Confluence需要购买License才能使用,网上也...
xwiki使用手册.docx
12-03
XWiki使用手册 XWiki是一款基于Wiki技术的知识管理系统,旨在帮助用户快速创建和共享知识内容。下面是XWiki使用手册的详细解读: 1. 引言 XWiki用户手册旨在帮助用户快速掌握XWiki系统的使用方法,了解系统的各项...
Xwiki汉化文件
05-10
一、进入安装目录/xwiki/WEB-INF/lib/下找到xwiki-platform-legacy-oldcore-10.2.jar 二、用zip解压软件进入xwiki-platform-legacy-oldcore-10.2.jar不要解压,找到ApplicationResources_zh.properties 打开以后...
xwiki 11.5 汉化文件
07-31
一、进入安装目录/xwiki/WEB-INF/lib/下找到xwiki-platform-legacy-oldcore-11.5.jar 二、用zip解压软件进入xwiki-platform-legacy-oldcore-11.5.jar不要解压,把ApplicationResources_zh.properties填加到xwiki-...
xwiki基础功能介绍
09-19
XWiki 基础功能介绍 XWiki 是一个基于 wiki 技术的协作平台,提供了许多基础功能,以满足多种业务需求。下面将详细介绍 XWiki 的基础功能。 用户管理模块 XWiki 的用户管理模块提供了多种功能,包括: 1. 用户...
xwiki dockerfile
01-16
xwiki的镜像docker文件配置 xwiki构建docker镜像 自行下载xwiki
sbt-evil-mode::smiling_face_with_horns:
05-16
sbt-邪恶模式 不要这样不要做任何事。 用法 // in plugins.sbt addSbtPlugin( " com.codecommit " % " sbt-evil-mode " % " 0.1-bdad513 " ) GitHub源依赖 lazy val root = project .in(file( " . " )) .gitHubDependency( " djspiewak " , " scala-collections " , " c785a40 " ) 上面的代码在c785a40上的项目的哈希c785a40上创建了源依赖项。 不要这样哦,标签可能也可以。 还没尝试过。 你也不应该。 现在,如果您确实是一个邪恶的人(让我们面对现实,您为什么还要读这篇文章?),那么您可能真正想要的是一种依赖给定项目的HEAD的方法。 幸运的是,由于完全不相关的体系结构约
xwiki_zipxwiki_zip(3-3)
03-20
xwiki_zip 8.0vxwiki_zip 8.0
一个解压密码
09-06
一个压缩包的解压密码,进去就知道了,为什么要20字呢。
BCG2012解压密码
12-03
BCG12最新版的解压密码,很实用软件开发
解压密码获取器1.3.4.
04-02
解压密码获取器1.3.4. 解压密码获取器1.3.4.
基于xwiki部署企业内部知识管理平台
colalovescoffee的博客
10-28 2372
​ 印象笔记、有道笔记、为知笔记都是挺好的商用笔记知识管理软件,不过有些敏感文件是不太好放到互联网上的。 所以搭建一套内部局域网知识管理平台是非常有意义的,在开源Wiki系统中,XWiki是做的最好的产品之一。因为它提供的功能与Confluence的功能非常相似,不需要学习任何语法格式,可以直接在线像编辑Word一样编辑WIKI页面。通过配置插件和扩展,还可以实现包括Markdown语法之内的各种延展功能。 所以在2021年就撸了一遍xwiki,现在把当时的记录整理一遍,以飨同行。 ​
xwiki使用指南
jia12216的专栏
12-14 1万+
修改配置,启动超级管理员,启用默认语言。实现汉化,设置权限,禁止外部注册,设置邮箱激活,修改管理员密码,加入新用户。 1.启动超级管理员,编辑xwiki.cfg文件vim /usr/local//XWiki/webapps/xwiki/WEB-INF/xwiki.cfg。把超级管理员的密码设置注释去掉,并设置超级管理员的密码。若管理员把密码忘记了,可以采用超级管理进行用户管理和设置。 强制在设置...
Xwiki安装部署详解
weixin_34367257的博客
03-25 542
一、Xwiki简介XWiki是一个由Java编写的基于LGPL协议发布的开源wiki和应用平台。XWiki是一款基于java所编写的wiki,它可以运行在如Tomcat,Jetty,JBoss,WebLogic,WebSphere等Servlet容器上并利用关系型数据库(HSQL, MySQL等)来存储数据,大部分数据库产品都可以在XWiki上运行但是必须进行正确的设置。中文网站:http://w...
XWiki Annotation Displayer 存在任意代码执行漏洞(CVE-2023-26475)
murphysec的博客
03-09 647
XWiki 是一个开源的企业级 Wiki 平台,Annotation Displayer 是 XWiki 中的一个插件,用于在 XWiki 页面上显示注释和其他相关内容。 该项目受影响版本存在任意代码执行漏洞,由于Annotation Displayer 对 Groovy 宏的使用没有限制,具有注释编辑权限或者页面编辑权限的攻击者可在注释中注入 Groovy 宏来执行任意代码,进而危害系统安全。
docker xwiki
最新发布
05-17
要在 Docker 中运行 XWiki,您可以按照以下步骤操作: 1. 安装 Docker 和 Docker Compose。 2. 创建一个名为 `xwiki` 的目录,并在该目录中创建一个名为 `docker-compose.yml` 的文件。 3. 在 `docker-compose....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值