解析markdown_利用Markdown语法并通过Markdown和Telescope的扩展持久XSS(CVE20145144)

最新推荐文章于 2024-05-09 10:27:33 发布
最新推荐文章于 2024-05-09 10:27:33 发布
阅读量173 收藏
点赞数
文章标签: 解析markdown
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36258720/article/details/112728774
版权
本文探讨了Markdown的普及及其在不同平台上的应用,同时指出Markdown解析库的非标准化处理可能导致的安全问题。重点讨论了一个具体的例子——通过Markdown和Telescope扩展引发的持久XSS漏洞(CVE-2014-5144),并展示了如何利用Markdown解析器的漏洞进行攻击。文章提到了Markdown XSS向量的有效性,并提及Telescope的修复措施。
摘要由CSDN通过智能技术生成
f5d080c4aaac53a521336b435de245b8.png点击上方蓝字,关注我们 f5d080c4aaac53a521336b435de245b8.png

利用Markdown语法

9e66fba489f5e54d35ae6bfa63ead23d.png

Markdown很不错。实际上,本文章本身是用Markdown编写的。对于链接,表格code blocks和列表之类的简单事物,我不需要使用冗长的不必要的HTML 。我也不需要费力地用文本做一些简单的事情,例如使单词加粗或斜体。在过去的几年中,Markdown获得了很多关注。现在,它已被Reddit,Github,StackOverflow等使用。此外,在新兴企业推出的新应用程序中,Markdown似乎越来越受欢迎。伴随着这一响应,多年来,大量的Markdown解析库已经发布。

看一下Markdown的非官方/通用规范,它提出了Markdown提供的各种语法,以及随后由Markdown解析器解析并转换为HTML的语法。

最低0.47元/天 解锁文章
猪猪堂客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用Markdown语法并通过MarkdownTelescope扩展持久XSS(CVE-2014-5144)
知柯信安
01-02 279
利用Markdown语法 Markdown很不错。实际上,本文章本身是用Markdown编写的。对于链接,表格code blocks和列表之类的简单事物,我不需要使用冗长的不必要的HTML 。我也不需要费力地用文本做一些简单的事情,例如使单词加粗或斜体。在过去的几年中,Markdown获得了很多关注。现在,它已被Reddit,Github,StackOverflow等使用。此外,在新兴企业推出的新应用程序中,Markdown似乎越来越受欢迎。伴随着这一响应,多年来,大量的Markdown解析库已经发布。 看
【安全漏洞】gomarkdown/markdown 项目的 XSS 漏洞产生与分析
HBohan的博客
08-24 551
前言 gomarkdown/markdown 是 Go 语言的一个流行模块,它旨在快速地将 Markdown 文档转化为 HTML 页面。而此次发现的漏洞,来源于作者在编写其语法树 Parser 的时候无意的一次 unescape。 漏洞复现 我们首先来看一段代码。 package main import ( "fmt" "github.com/gomarkdown/markdown" "html" ) func main() { var textToRender = "``
xssMarkdown
weixin_45946673的博客
10-24 1550
xssMarkdown markdown是一种轻量级标记语言,通过简单语法,可以使文本具有一定格式,最常见于GitHub上readme文件,现这种语言已被广泛使用. Markdown语法中易于攻击的两种 图片 链接 1 markdown插入图片 1.1 markdown语法: ![alt 属性文本](图片地址) 使用实例: ![RUNOOB 图标](https://img-pre.ivsky.com/img/tupian/pre/202103/29/haimian-019.jpg) 格
XSSmarkdown xss
最新发布
大河之犬的博客
05-09 266
如果你有机会在 markdown 中注入代码,有几种选项可以用来触发 XSS
test
lastbright的博客
01-25 87
[a](javascript:prompt(document.cookie)) [a](j a v a s c r i p t:prompt(document.cookie)) ![a](javascript:prompt(document.cookie)) <javascript:prompt(document.cook
telescope-bootstrap-wysiwyg:用 bootstrap-wysiwyg HTML 编辑器替换 Telescope 中的 Markdown 编辑器
06-13
望远镜引导-所见即所得 用 bootstrap-wysiwyg HTML 编辑器替换 Telescope 中的 Markdown 编辑器
markdown_widget:mark通过颤振渲染Markdown!欢迎使用pr和问题
02-03
markdown_widget:mark通过颤振渲染Markdown!欢迎使用pr和问题
Markdown语法入门_markdown_
10-03
以上就是Markdown的基础语法,通过熟练掌握这些,你可以轻松编写出结构清晰、易于阅读的文档。在实际使用中,还有许多扩展功能和工具可以增强Markdown的表达能力,例如表格、脚注、自定义HTML标签等。学习Markdown...
markdown_to_asciidoc-1.0.jar
04-21
mvn install:install-file -DgroupId=nl.jworks.markdown_to_asciidoc -DartifactId=markdown_to_asciidoc -Dversion=1.0 -Dpackaging=jar -Dfile=C:\Users\lizz\Downloads\markdown_to_asciidoc-1.0.jar
markdown-it:Markdown解析器,正确完成。 100%CommonMark支持,扩展,语法插件和高速
02-03
降价 Markdown解析器做对了。 快速且易于扩展。遵循+添加语法扩展和语法(URL自动链接,印刷者)。 可配置语法! 您可以添加新规则,甚至替换现有规则。 高速。 默认为。 npm上由社区编写的和。 表中的内容安装node....
mysql_markdown_linux.zip
11-26
它能读取MySQL数据库的表结构,并将其转换成Markdown格式的文档,方便团队协作和版本控制。 4. **mysql-1.6.0.tar.gz**:虽然文件名中包含了“mysql”,但通常MySQL数据库的版本号远高于1.6.0,这可能是某个特定...
xss php 转义_Parsedown 解析 Markdown 过滤 XSS 时应如何处理 html 转义
weixin_34765773的博客
03-09 224
用 Parsedown 对 Markdown 进行解析的时候,遇到了一些 XSS 过滤方面的问题。发现 Parsedown 会对 代码 区域内的 html 代码进行转义,代码区域外的却不进行转义,如以下代码所示PHPalert('test')***/这样,这句还是被成功执行了既然如此,那我先自己给它转义一下PHP<script>alert('test')</script>*...
markdown反射型xss漏洞复现
weixin_30315905的博客
03-19 801
markdown xss漏洞复现 转载至橘子师傅:https://blog.orange.tw/2019/03/a-wormable-xss-on-hackmd.html 漏洞成因 最初是看到HackMD在前端渲染Markdown时的XSS防御所引起我的兴趣,由于HackMD允许嵌入客制化的网页标签,为了防止XSS的问题势必得对HTML进行过滤,这里HackMD使用了一个XSS防御函示库- npm...
markdown编辑器
weixin_43283204的博客
11-01 303
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
XSS笔记-来源于个人思路构造以及网络分享
白昼小丑的博客
11-12 306
1)发现任何跨域请求到不受信任的域,可能会无意中执行脚本。2)找到任何可以将脚本注入数据源的可信API端点的请求。有时,正则表达式或其他定制过滤器会进行区分大小写的匹配。有时应用程序会在再次解码之前对字符串执行 XSS 过滤,这会使过滤器绕过打开它。_Note:关于构建基于flash的XSS有效负载的有用参考资料[MWR Labs](现在,我们可以使用谷歌dork在上面列出的域中找到一些JSONP端点。
django-markdown 防止XSS攻击
zjw_python的博客
01-29 1623
之前给自己的评论模块添加了支持markdown语法功能,在模板中直接使用了自定义的markdown标签(django1.6以后就移除了内置的markdown标签)和safe标签: {{content|markdown_change|safe}} # -*- coding: utf-8 -*- from django import template import markdown regi
解决Vue-markdown编辑器加入xss之后,code标签里的代码块会被转义的问题
qq_37976966的博客
07-04 2485
mavonEditor 一、简单的介绍一下关于vue-markdown的使用 安装 npm install mavon-editor --save 引入(在main.js中全局引入) import Vue from 'vue' import mavonEditor from 'mavon-editor' import 'mavon-editor/dist/css/index.css';...
XSS Payload
不忘初心,护天下安全!
10-07 1612
Payload 常用 <script>alert(/xss/)</script> <svg onload=alert(document.domain)> <img src=document.domain onerror=alert(document.domain)> <M onmouseover=alert(document.domain)&...
Markdown语法解析:从入门到实战指南
Markdown语法手册是一份全面介绍Markdown语言的指南,这是一种轻量级的标记语言,通过简单的文本符号来实现富文本格式化,无需依赖复杂的排版工具。以下是该手册的主要内容概要: 1. **斜体和粗体**:Markdown支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值