慎防国际化中的language参数XSS注入

最新推荐文章于 2022-01-28 02:38:10 发布
最新推荐文章于 2022-01-28 02:38:10 发布
阅读量127 收藏
点赞数
分类专栏: 随笔 文章标签: GWT XML HTML XHTML
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d8111/article/details/83679400
版权

最近使用的xwiki又被安全中心眷顾了,扫描到一个新的xss漏洞。 由于xwiki是一个国外的开源论坛,做过国际化处理,支持多语言, 于是在页面上存在一些这样的代码:

 

<html xmlns="http://www.w3.org/1999/xhtml" lang="en" xml:lang="en">

<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1" />
<meta name="gwt:property" content="locale=en" />

 

注意这些编码串,全部是动态获取的,代码如下:

<meta name="gwt:property" content="locale=$!{context.language}"

 

于是,邪恶就诞生了!

?language="></script><script>alert()</script>&viewer=changes

 这段注入代码去http://platform.xwiki.org/xwiki/bin/view/DevGuide/DataModel?language="></script><script>alert()</script> 尝试过,该网站有做过处理,攻击不会成功。

 

但是自己下载的xwiki使用就要注意了,上面提到的动态取context.language则一定会被注入到很惨!特别是

/xwiki/templates/htmlheader.vm   这个公用的页头。

 

目前我的解决方案是,用xwiki提供的模板函数replaceAll来过滤特殊字符。<>/

<meta name="gwt:property" content="$!context.language.replaceAll("<", "&lt;").replaceAll(">", "&gt;").replaceAll("/", " ")" />

 

 

下面也顺带把各种过滤条件都列出来,方便后期当手册翻阅:

html元素过滤字符集合

ignoreHtmlElementsTable.put('<', "&lt;");
ignoreHtmlElementsTable.put('>', "&gt;");
ignoreHtmlElementsTable.put('\'', "&#39;");
ignoreHtmlElementsTable.put('\"', "&quot;");
ignoreHtmlElementsTable.put('&', "&amp;");

 html属性过滤字符集合

ignoreHtmlAttributesTable.put('=', "&#61;");
ignoreHtmlAttributesTable.put('`', "&#96;");

 xml元素、属性过滤字符集合

ignoreXmlElementsTable.put('\'', "&apos;");

 

 

宋玮-深圳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
防止JSPXSS攻击,可能涉及到使用EL(Expression Language)的`encodeForHTML()`或`encodeForJavaScript()`方法,以及对Servlet的请求参数进行验证。此外,JSP页面可能还需要正确设置Content-Type头,防止浏览器...
防止XSS攻击xssProtect
11-03
1. **antlr-3.0.1.jar**:ANTLR(Another Tool for Language Recognition)是一个强大的解析器生成器,用于读取、处理、执行或翻译结构化文本或二进制文件。在XSSProtect,ANTLR可能被用来解析和分析输入的数据...
centos7 设置language参数
sinat_26516513的博客
08-26 2012
查看当前LANG设置 1.echo $LANG 2.locale|grep LANG 检查语言集 locale -a 设置LANG #立刻生效 export LANG=&quot;zh_CN.utf8&quot; #保存文件,防止重启变量失效 echo LANG=&quot;zh_CN.utf8&quot; &amp;gt; /etc/locale.conf...
JQuery Datatables Dom 和 Language 参数详细说明
燃烧JAVA
09-21 5986
Data Tables: http://datatables.net/ Version: 1.10.0   Dom说明 定义表格控件在页面的显示顺序。 每个控件元素在数据表都有一个关联的单个字母。 l - 每页显示行数的控件f - 检索条件的控件t - 表格控件i - 表信息总结的控件p - 分页控件r - 处理的控件 还可以在控件元素外添加DIV和Class,语法如下
Asp.net安全架构之1:xss(跨站脚本)
weixin_34419321的博客
05-22 356
原理跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cooki...
实验吧-Forbidden/头有点大【Accept-Language参数伪造登录地址】
Sp4rkW的博客
08-04 3260
原题内容: 解题链接:http://ctf5.shiyanbar.com/basic/header/ 很有意思的一道题,大意就是伪造香港地址访问,一开始我还以为是x-forwarded-for,特地查询了香港的一些ip,结果伪造依然失败,看了下面的提示,233,才发现原来请求的headers的Accept-Language也非常的重要,zh-hk 有意思~ 详情参考...
XSS靶场练习手工注入(1)
qq_43511094的博客
01-28 3847
XSS手工注入前言靶场:https://xss.haozi.me/#/0x00基础知识test()方法:replace()题目1解题思路结果题目2解题思路结果题目3解题思路结果题目4解题思路结果题目5解题思路结果题目6解题思路结果题目7解题思路结果题目8解题思路结果题目9解题思路结果题目10解题思路结果题目11解题思路结果题目12解题思路结果题目13解题思路结果题目14解题思路结果题目15解题思路结果题目16解题思路结果题目17解题思路结果题目18解题思路结果题目19解题思路结果 前言 这篇一篇用来记录自己
php程序语言 php programming language
06-20
- Web应用安全:防止SQL注入XSS攻击、CSRF等常见安全问题。 - 高级话题:如会话管理、cookie、模板引擎、缓存机制等。 通过深入学习和实践,你可以掌握PHP编程语言,从而高效地开发出功能丰富的Web应用程序。
jsp应用开发详解(文高清pdf版)
04-14
9. **安全性**:涵盖JSP应用的安全考虑,如防止SQL注入XSS攻击等,并介绍相关的安全框架和最佳实践。 10. **性能优化**:书可能涉及JSP性能调优技巧,包括缓存策略、减少HTTP请求、优化JSP代码等。 通过《jsp...
JSP2.0文参考手册
10-30
JSP 2.0还关注了安全性,提供了对HTTP方法的限制、请求参数的验证等功能,以防止常见的Web攻击,如SQL注入、跨站脚本攻击(XSS)等。 **七、最佳实践** 1. 尽量减少脚本元素的使用,转而使用EL和JSTL。 2. 为每个...
Spring Boot通过Accept-Language头信息设置国际化内容
IT1995的博客
03-11 1万+
目录 概念 演示 操作步骤 概念 使用Spring MVC编写国际化配置文件: 1. 编写国际化配置文件; 2. 使用ResourceBundleMessageSource管理国际化资源文件; 3. 在页面使用fmt:message取出国际化内容; 使用Spring Boot编写国际化; ...
浏览器怎么决定发送HTTP的Accept-Language请求头
热门推荐
hongchangfirst
03-10 2万+
不同的浏览器方式不同,比如IE是使用Windows default locale 来决定Accept-Language 属性的。 也有的浏览器根据自身的属性,如果你下载的是文版的浏览器,那么默认的Accept-Language就是zh_CN. 这时可以设置相应的默认语言属性, 比如FireFox,可以去 Tools > Options (Windows) or Fi
分布式电网动态电压恢复器模拟装置设计与实现.doc
最新发布
07-06
本装置采用DC-AC及AC-DC-AC双重结构,前级采用功率因数校正(PFC)电路完成AC-DC变换,改善输入端电网电能质量。后级采用单相全桥逆变加变压器输出的拓扑结构,输出功率50W。整个系统以TI公司的浮点数字信号控制器TMS320F28335为控制电路核心,采用规则采样法和DSP片内ePWM模块功能实现SPWM波,采用DSP片内12位A/D对各模拟信号进行采集检测,简化了系统设计和成本。本装置具有良好的数字显示功能,采用CPLD自行设计驱动的4.3英寸彩色液晶TFT-LCD非常直观地完成了输出信号波形、频谱特性的在线实时显示,以及输入电压、电流、功率,输出电压、电流、功率,效率,频率,相位差,失真度参数的正确显示。本装置具有开机自检、输入电压欠压及输出过流保护,在过流、欠压故障排除后能自动恢复。
【无人机通信】基于matlab Stackelberg算法无人机边缘计算抗干扰信道分配【含Matlab源码 4957期】.mp4
07-06
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
电网公司数字化转型规划与实践两个文件.pptx
07-05
电网公司数字化转型规划与实践两个文件.pptx
React Native Ruby 前后端分离系统案例介绍文档
07-06
React Native Ruby 前后端分离系统案例介绍文档
xss注入<>被过滤绕过方式
05-30
XSS注入,被过滤是比较常见的一种情况。如果过滤了字符,我们可以尝试使用以下方式来绕过过滤: 1. 使用HTML字符编码:可以使用HTML字符编码来绕过过滤。例如,可以将"字符编码为"<",">"字符编码为">",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值