还是关于xwiki, XSS

最新推荐文章于 2020-11-06 18:52:43 发布
最新推荐文章于 2020-11-06 18:52:43 发布
阅读量125 收藏
点赞数
分类专栏: 技术点滴 文章标签: IE 软件测试 Blog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d8111/article/details/83699886
版权

前面对这个wiki已经写了两次了,

第一回,邪恶的xwiki

http://sw1982.iteye.com/admin/blogs/689936 

第二回,慎防国际化中的language参数XSS注入

http://sw1982.iteye.com/blog/728637

 

这是第3回,还是接第二回写

?language=t5x'%20onreadystatechange='alert(document.cookie)'

 onreadystatechange 是针对ie内核的一种注入方式, 这回连< > /几个字符都不需要了,于是在第二回合中的解决方案以失败告终。

 

完整的js过滤字符应该需要包括 < > ' " & 

replaceAll("&", "&amp;").replaceAll("<", "&lt;").replaceAll(">", "&gt;").replaceAll("\'", "&#39;").replaceAll("\"", "&quot;")

 千万不可以认为解决左右尖括号<>和斜杠/就万事大吉了!

 

 

本次修改的地方除了第二回中的文件外,还需要替换这里:xwiki/webroot/templates/macros.vm。

这个地方很邪恶, url变量被注入,


 

 

 

 

于是再拿这个邪恶的参数去xwiki官方网站测试,发现其实官网不存在这个问题。下面是传送门

http://platform.xwiki.org/xwiki/bin/view/DevGuide/DataModel?language=t5x'%20onreadystatechange='alert(document.cookie)'

于是,再次明白了免费软件, 商业支持 。。。

宋玮-深圳
关注
专栏目录
XWiki安装(war包方式)
The magic of fingertips
03-11 4143
下载地址:http://enterprise.xwiki.org/xwiki/bin/view/Main/Download 系统要求:     1、XWiki 的编译从6.0版本以后使用Java 7 来进行编译,所以要安装6.0以后的版本,需要jdk7以上版本     2、我选择使用tomcat 7 版本     3、然后我使用MariaDB 10 1、安装容器(这里以Tomca
xwiki,新xss漏洞爆发
wei
09-08 194
这回哥就啥也不说了。。第一次发现xwiki官方尚未处理的漏洞,直接去官方校验效果把:) http://www.xwiki.org/xwiki/bin/view/XWiki/SilviaRusu?language=t5x%27t5x"&gt;&lt;script&gt;alert("abc")&lt;/script&gt;   当然也可以来拍拍的API平台测试:)http://pop.pa...
Xwiki installation guide Xwiki安装手册
01-10
XWiki是一个由Java编写的基于LGPL协议发布的开源wiki和应用平台
表单设计器 开源程序
07-21
表单设计器 开源程序,可以实现拖拽效果!winform程序
XWIKI下载 【war包过大过多,内附百度云地址】
09-17
Xwiki是java开源项目,旨在搭建个人wiki平台。但是由于网络问题,xwiki的安装包下载异常慢,特此分享。
xwiki使用手册.docx
12-03
XWiki使用手册 XWiki是一款基于Wiki技术的知识管理系统,旨在帮助用户快速创建和共享知识内容。下面是XWiki使用手册的详细解读: 1. 引言 XWiki用户手册旨在帮助用户快速掌握XWiki系统的使用方法,了解系统的各项...
xwiki10.11.8管理界面汉化包以及插件.zip
05-29
《XWiki 10.11.8 管理界面汉化与XAR插件详解》 XWiki是一款开源的、高度可扩展的、基于Java的维基平台,它支持丰富的功能,如文档协作、知识管理、项目管理等。在XWiki 10.11.8版本中,针对中国用户的使用习惯,...
Xwiki汉化文件
05-10
一、进入安装目录/xwiki/WEB-INF/lib/下找到xwiki-platform-legacy-oldcore-10.2.jar 二、用zip解压软件进入xwiki-platform-legacy-oldcore-10.2.jar不要解压,找到ApplicationResources_zh.properties 打开以后...
Xwiki 汉化文件
03-05
Xwiki 汉化文件。 一、进入安装目录/xwiki/WEB-INF/lib/下找到xwiki-platform-legacy-oldcore-10.2.jar 二、用zip解压软件进入xwiki-platform-legacy-oldcore-10.2.jar不要解压,找到ApplicationResources_zh....
xwiki开发实践
03-30
XWiki是一个由Java编写的基于LGPL协议发布的开源wiki和应用平台。具有优秀的所见即所得编辑器、强大的权限管理、全文本搜索、版本控制、LDAP身份验证等等。以及超过700个扩展功能
wiki网站系统
wdh200703010017的专栏
12-23 311
<br />最近对wiki思想了解了一下,觉得wiki思想很符合人的学习习惯,不断地积累,完善。真的很想对其进行更深的认识,但发觉网上对简易wiki网站系统设计与实现方面的资料太少了,让我亲手做一个简易wiki网站系统的愿望难以实现~~~
XWiki 安装手册
架构师的成长之路的博客
01-10 1499
XWiki 安装手册 XWiki企业 是一个具有强大的扩展功能(如在页面嵌入脚本),集成插件以及高度模块化架构的专业wiki系统。 下载地址
xwiki管理指南-安装教程
lovelife110的博客
05-21 4661
XWiki是一款基于java所编写的wiki,它可以运行在如Tomcat,Jetty,JBoss,WebLogic,WebSphere等Servlet容器上并利用关系型数据库(HSQL, MySQL等)来存储数据,大部分数据库产品都可以在XWiki上运行但是必须进行正确的设置。 如下介绍3种安装XWiki的方式: 使用已包含Servlet容器(Jetty)和数据库(HSQL)并带有默认wiki...
XWiki 10.11.3 发布,协作式应用开发平台
cpongo5
02-23 137
开发四年只会写业务代码,分布式高并发都不会还做程序员? >>> XWiki 10.11.3 发布了,...
xwiki系统安装配置说明书
starfire21的专栏
05-20 5917
Xwiki 系 统 安 装 配 置 说 明 书       2015-05-11   目录 1       系统安装要求... 2 2       服务器开通端口... 2 3       系统安装... 3 4       配置文件说明... 4 5       flamingo皮肤文件说明... 4 6       中文编码... 6 7
修改XWiKi连接的数据库遇到的问题
jia12216的专栏
12-17 1628
安装二代XWiKi,并运行正常。安装的数据库版本是5.6. 1.修改XWiKi连接的数据库为自己安装的MySql数据库,修改MySql数据库的存放路径为其它磁盘。 修改XWiKi连接的数据库配置文件:vim /usr/local/XWiki/webapps/xwiki/WEB-INF/hibernate.cfg.xml。注释掉默认hsqldb数据,放开MySQL的注释。 2.若刚装好数据库,没有...
Vue项目玩转Ueditor(百度富文本编辑器),解决图片需要上传服务器的问题,将图片转存base64字符串。
小马哥的博客
11-06 5747
文章目录1. 场景描述2. 问题描述3.较为流行的几个富文本编辑器比较3.1、wangEditor3.2、百度的ueditor3.3、KindEditor3.4、bootstrap-wysiwyg3.5、QuillEditor4.Ueditor的集成 1. 场景描述 最近在做一个网站,里面有发布文章的功能。需要使用到富文本编辑器来发布文章。 实现思路: 富文本编辑排版=》转存html=》服务器存储为txt文件=》数据库存储访问地址=》 前端访问后台服务拿到访问地址=》请求url拿到文章内容=》渲染到页面。
xwiki操作手册
奔跑的小车车博客专栏
01-13 6597
Xwiki官网:http://www.xwikichina.com/xwiki/bin/view/Main/中文官网。 1   用户管理 1.1    添加新用户 用户管理需要管理员权限,管理员登陆后,首页选择“Home-管理员xwiki”。在打开的页面中选择用户。 在新打开的页面中选择“添加用户”按钮,打开添加用户页面,保存后,用户添加成功。 1.2    用户分组 用户分组
三个wiki平台的试用总结
wusuopuBUPT的专栏
03-19 4629
我试过doku、moinmoin、pmwiki,前两个在上传中文附件时有问题,不能显示中文附件名,上传的中文附件名都被“吃”了,只留下一下扩展名!!!:) 但doku还有一个变通的办法,就是在上传的中文名前加个数字或是字母就行,估计是wiki不让产生非字母或数字打头的文件名吧。   doku在使用中文目录时,在后台储存时的目录名是url encode过的,也就是说显示的不是中文名,而是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值