codeql分析Alist的反射型xss漏洞 (CVE-2022-26533)

已于 2023-10-25 12:53:19 修改
阅读量187 收藏
点赞数
分类专栏: codeql 代码审计 文章标签: xss 网络安全 web安全 代码复审
于 2023-10-25 12:46:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/faint23/article/details/134031941
版权

前言

CVE-2022-26533 为alist v2.0.10-v2.1.0中存在反射型XSS漏洞,使用codeql进行分析.

漏洞原因

r.GET("/i/:data/ipa.plist", controllers.Plist)  //绑定路由

//未对参数进行过滤导致XSS注入
func Plist(c *gin.Context) {
	data := c.Param("data")
	data = strings.ReplaceAll(data, "_", "/")
	data = strings.ReplaceAll(data, "-", "=")
	bytes, err := base64.StdEncoding.DecodeString(data)
	if err != nil {
		common.ErrorResp(c, err, 500)
		return
	}
	u := string(bytes)
    plist := fmt.Sprintf(`xml...%s,%s,%s...`, u, name, name)
	c.Header("Content-Type", "application/xml;charset=utf-8")
	c.Status(200)
	_, _ = c.Writer.WriteString(plist)
}

设置sink

设置sink为 c.Writer.WriteString(plist)中的参数plist为注入点

class AlistSink extends DataFlow::Node {
  AlistSink() {
    exists(DataFlow::MethodCallNode m |
      m.getTarget().hasQualifiedName("github.com/gin-gonic/gin", "ResponseWriter", "WriteString")
    |
      this = m.getAnArgument()
    )
  }
}

设置source

设置source直接使用了UntrustedFlowSource::Range
具体的代码可以参考: https://github.com/github/codeql/blob/main/go/ql/lib/semmle/go/frameworks/Gin.qll
以下是该文件的部分截取,主在是获取框架内读取数据method结果做为注入点

  private class GithubComGinGonicGinContextSource extends UntrustedFlowSource::Range {
    GithubComGinGonicGinContextSource() {
      // Method calls:
      exists(DataFlow::MethodCallNode call, string methodName |
        call.getTarget().hasQualifiedName(packagePath(), "Context", methodName) and
        methodName in [
            "FullPath", "GetHeader", "QueryArray", "Query", "PostFormArray", "PostForm", "Param",
            "GetStringSlice", "GetString", "GetRawData", "ClientIP", "ContentType", "Cookie",
            "GetQueryArray", "GetQuery", "GetPostFormArray", "GetPostForm", "DefaultPostForm",
            "DefaultQuery", "GetPostFormMap", "GetQueryMap", "GetStringMap", "GetStringMapString",
            "GetStringMapStringSlice", "PostFormMap", "QueryMap"
          ]
      |
        this = call.getResult(0)
      )
      or
      // Field reads:
      exists(DataFlow::Field fld |
        fld.hasQualifiedName(packagePath(), "Context", ["Accepted", "Params"]) and
        this = fld.getARead()
      )
    }
  }

设置config

source instanceof UntrustedFlowSource::Range

class AlistConfig extends TaintTracking::Configuration {
  AlistConfig() { this = "Alist config" }

  override predicate isSource(DataFlow::Node source) {
    source instanceof UntrustedFlowSource::Range
  }

  override predicate isSink(DataFlow::Node sink) { sink instanceof AlistSink }

  override int fieldFlowBranchLimit() { result = 5000 }
}

污点追踪

from DataFlow::PathNode source, DataFlow::PathNode sink
where exists(AlistConfig cfg | cfg.hasFlowPath(source, sink))
select source.getNode(), source, sink, "source"

完工

对codeql的学习做一点记录.

faint23
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
会捷通云视讯 list 目录文件泄露漏洞
BeWorthyOf的博客
11-23 3053
北京中创视讯科技有限公司 会捷通云视讯 存在目录遍历漏洞
Alist保姆级搭建教程
热门推荐
BG1230521的博客
03-27 2万+
Alist一个支持多种存储的文件列表程序,可以实现多种网盘挂载为硬盘,并可以挂载不限量的网络资源。重点:免费!
ArrayList不安全案例!以及3种解决方案!!
qq_40823802的博客
08-02 918
public static void main(String[] args) { //1. List<String> list = new Vector<>(); //2. List<String> list = Collections.synchronizedList(new ArrayList...
Arrays.asList方法的漏洞
lihappyangel的专栏
07-05 788
1. Arrays.asList方法没有办法remove元素。 java提供了Arrays.asList方法来讲array转换成list,也提供了List.toArray方法来讲list转换为Array。来说说我在使用过程中碰到的问题。友盟分享时: 1 2 SHARE_MEDIA platformArray[] = {SHARE_MEDIA.QQ
Alist 常规问题汇总
little_K_c的博客
03-17 2393
(1)在Alist根目录下,先输入”cmd“,进入命令行窗口界面。再输入以下指令,自定义密码##"Your_New_PassWord" 是你要设置的具体的密码(2)在cmd命令行窗口输入”alist server“,启动Alist。(3)在浏览器输入”“,打开网页端,就可以使用啦。
gentlexue#POC-3#Nokia G-120W-F 路由器存储XSSCVE-2021-30003)1
07-25
Nokia G-120W-F 路由器存储XSSCVE-2021-30003)在诺基亚 G-120W-F 3FE46606AGAB91设备上发现了一个存储X
coldfusion-10-11-xss:CVE-2015-0345 (APSB15-07) 的概念验证代码
05-31
ColdFusion 10.x 11.x XSS -> RCE PoC 漏洞利用 此存储库包含 CVE-2015-0345 (APSB15-07) 的 XSS 向量,允许在 ColdFusion 安装上获得远程命令执行。 此漏洞仅对 ColdFusion 10 和 11 安装有效。 具体来说,...
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
奇安信安全扫描漏洞解决路径遍历和存储xss反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
XSS详细讲解
mmxhappy的专栏
01-26 1046
XSS作为OWASP TOP 10之一。XSS中文叫做跨站脚本攻击(Cross-site scripting),本名应该缩写为CSS,但是由于CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascript(js)来完成恶意的攻击行为。XSS是一种经常出现在web应用中的计算机大全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?
CodeQL漏洞挖掘实战
qq_53058639的博客
03-12 359
CodeQL作为一个分析框架,在专家经验的加持下,才能够发挥其最大的功效,这是它的缺点,但它作为一个框架,能够提供丰富的API和简洁的语义使研究者能够快速验证分析思路、发现特定场景产生的漏洞,这种高度自由也是其不可忽视的优点。我们对上一个例子中宏调用的查询进行延申,通过定义一个NetworkByteSwap类,这个类代表符合“某些特征”的表达式的全集,在本例中,我们限定我们需要的是包含ntohs、ntohl宏调用的表达式,并通过from n select n的方式将它们简单的列举出来。
Python中给删除列表元素可能存在的漏洞
liguandong
10-13 419
如下图所示,在python语言中存在的列表删除的漏洞,先设定一个alist=[11,22,33,44]列表,当删除22或者33时,这两个列表元素是相邻的,会发现只删除了33,而未删除44,这是很奇怪的,因为33被删除之后,33的位置被44所取代,列表在循环时会自动跳动44的位置,以至于44未被删除,这是python语言本身的一个问题,只要不是相邻元素的删除,都不会出现这个问题的。
思路分享:解决Codeql本地使用时编译不成功问题
天在等我,菜鸟想飞
02-10 674
CodeQL很强,基础配置啥的网上教程一堆,可以自行去搜索一下。本文主要是记录本地环境执行不成功的情况下,如何利用现有的渠道是执行我们的规则。 这里使用的就是Github自带的actions去实现。主要是为了解决如:**codeql如何扫描Android项目**中因为环境搭建失败导致无法继续使用codeql的情况。
java list%3ca%3e排序_Apache Solr 远程命令+XXE执行漏洞CVE-2017-12629)
weixin_32512187的博客
03-06 3523
Apache Solr 最近有出了个漏洞预警,先复习一下之前的漏洞 #命令执行 ##先创建一个listener,其中设置exe的值为我们想执行的命令,args的值是命令参数POST /solr/demo/config HTTP/1.1Host: your-ipAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSI...
codeql使用指南
balance的博客
03-22 7369
目录 简介 hello world 1、安装codeql-cli 和 ql库 2、创建源码数据库 3、编写hello world 4、执行查询 进阶 1、扫描结果快速定位到源码 2、用作白盒扫描器 3、开发自己的查询代码 4、分析GitHub上的开源项目 简介 codeql是一门类似SQL的查询语言,通过对项目源码(C/C++、C#、golang、java、JavaScript、typescript、python)进行完整编译,并在此过程中把项目源码文件的所有相关信息(调用关.
代码分析引擎 CodeQL 初体验
晓得哥的博客
11-19 8751
作者:w7ay@知道创宇404实验室 日期:2019年11月18日 原文链接:https://paper.seebug.org/1078/ QL是一种查询语言,支持对C++,C#,Java,JavaScript,Python,go等多种语言进行分析,可用于分析代码,查找代码中控制流等信息。 之前笔者有简单的研究通过JavaScript语义分析来查找XSS,所以对于这款引擎有浓厚的研究...
CodeQL学习
公众号shadow sock7
04-17 6668
CodeQL环境搭建 参考:https://help.semmle.com/codeql/codeql-cli/procedures/get-started.html 下载 下载链接:https://github.com/github/codeql-cli-binaries/releases 下载最新的codeql.zip就可以了,比如: https://github.com/github/cod...
DOMXSS(跨站脚本攻击)的自动化测试和人工测试方法
最新发布
m0_52484587的博客
07-16 155
它包含预定义的XSS payload集合,并采用多线程处理以提高效率,能够检测反射、存储以及DOMXSS漏洞,并生成详细的报告。:使用如腾讯安全平台部提出的门神DOM-XSS防御JS等方案,通过JavaScript代码实现客户端防护,提高常见DOM XSS攻击的门槛。:通过浏览器的开发者工具,如F12,检查页面的DOM结构,尝试修改DOM元素的属性或内容,观察是否触发XSS。:分析Web页面的JavaScript代码,特别是那些动态生成HTML的部分,以查找可能的XSS漏洞
java 反射xss漏洞
06-02
Java反射XSS漏洞是指攻击者利用Java反射机制构造恶意输入,从而触发Web应用程序的反射机制,导致恶意代码被执行的漏洞。攻击者可以通过构造恶意请求,将恶意代码注入到应用程序中,使得用户在访问页面时受到攻击。 为了防止Java反射XSS漏洞的发生,可以采取以下措施: 1. 对用户输入进行严格的校验,包括对输入的内容进行过滤和转义,以确保用户输入不包含任何恶意代码。 2. 使用安全的编程方式,如不直接拼接字符串等,以避免在代码中暴露可执行的字符串。 3. 对反射机制进行严格的控制,只允许调用可信的方法和对象。 4. 及时更新开发框架和组件,以修复已知的漏洞和弱点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值