【已解决】kkFileView存在文件上传存储型XSS漏洞

最新推荐文章于 2024-09-14 18:46:05 发布
最新推荐文章于 2024-09-14 18:46:05 发布
阅读量538 收藏 10
点赞数 22
文章标签: java 安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44938223/article/details/141605500
版权

记录一次KkfileView系统存在文件上传导致的存储型xss漏洞

开贴缘由

项目上由于需求的需要,前期部署了一套kkFileView的服务,但是近期对服务器进行漏洞扫描被抓到了一个漏洞风险,网上关于此类问题的修复教程比较少,特此开贴记录本次修复过程

问题的暴漏

近期项目上对服务器进行了安全检测漏洞扫描,部署kkFileView的服务器被扫描出了问题,如下图所示:
漏洞扫描结果

寻找解决的方案

这类问题之前确实是没有见到过,只能发动被动技能面相互联网编程在网上所搜了一圈后目前主要给到的结果,目前存在该问题的版本范围:4.2.0 <= kkFileView <= 4.4.0-beta
通过进一步的搜索,发现解决的问题的方案主要有2种

  1. 使用新版本的进行部署 (适用于docker部署)
  2. 从gitee或是github上拉取最新的代码,手动进行打包(也可用于docker部署)

由于目前部署的方式是通过docker 部署的,所以想着通过拉取最新的docker 镜像版本来做替换,但是发现目前docker上最新的镜像版本只到4.1.0,所以只能尝试第二种方式

意外收获

在搜索解决方案的过程中,意外发现了另一种解决方案,github上发现了作者对此类问题的回复
链接: kkFileView-v4.3.0~v4.40-beta 存在RCE漏洞
在这里插入图片描述
既然可以通过修改配置文件来规避这个问题,那么问题就变得简单起来了

最终解决

  1. 查看docker 运行的状态,检视容器运行信息

    • docker ps
    • docker inspect <容器ID>
    • 得到容器启动时候的配置文件路径
      在这里插入图片描述

  2. 根据docker文件目录规则,找到这个文件,并修改

    • 例如我这个的文件地址为:/var/lib/docker/overlay2/76b45c2e5886d7c8db469fa1849afbb9fa8eefe55203d7a1aa59182483d44abd/diff/opt/kkFileView-4.2.0-SNAPSHOT/config/application.properties
    • 修改文件中的属性,下图为修改后的结果
      在这里插入图片描述

  3. 重启容器

    • docker restart <容器ID>

  4. 验证

    • 待容器重启完毕后,打开部署服务的IP:8012/index
      在这里插入图片描述

结语

通过以上操作,此问题完美解决,配置文件中其他配置的修改也可以影响到其他的功能,例如水印信息等,大家修改时一定要谨慎,如果有其他解决方案,欢迎大家在评论区进行讨论

胖琛
关注
php xss漏洞解决方案,解析检查 —— 存储XSS漏洞解决方案
weixin_39917291的博客
04-04 645
TSRC编者按:Web2.0时代,XSS漏洞不容小觑。特别是在UGC业务,支持“安全的”HTML是业务必须的特性,这就对UGC安全过滤器要求特别高,稍有不慎就会出现存储XSS漏洞。腾讯安全中心从2007年就面向内部UGC业务推出“安全API”项目用于解决这类场景,原理是对用户提交内容进行预解析,过滤掉产生安全问题的语句。大马胖子在这方面经验丰富,大家可以看看这块是如何实现的。也欢迎实测demo,发...
kkFileview存在任意文件读取漏洞
nnn2188185的博客
04-26 8132
Keking kkFileview 存在安全漏洞,该漏洞源于存在通过目录遍历漏洞读取任意文件,可能导致相关主机上的敏感文件泄漏。
kkFileView漏洞总结
Websec
03-18 3105
Keking kkFileview 存在安全漏洞,该漏洞源于存在通过目录遍历漏洞读取任意文件,可能导致相关主机上的敏感文件泄漏。kkFileview v4.1.0存在SSRF漏洞,攻击者可以利用此漏洞造成服务器端请求伪造(SSRF),远程攻击者可以通过将任意url注入url参数来强制应用程序发出任意请求,从而获取内网机器的数据。3、kkFileview的onlinePreview接口也存在SSRF漏洞,但是利用条件上稍微有点区别,这个接口限制了后缀只能为一些常见的文本类
kkFileview漏洞总结
qq_61475980的博客
07-22 1488
项目介绍Keking KkFileview是中国凯京科技(Keking)公司的一个以Spring Boot打造文件文档在线预览项目。
网络安全-kkFileViews任意文件读取漏洞原理解析
weixin_39445116的博客
02-04 2936
在学习的过程中,了解到kkFileView存在任意文件读取、SSRF、文件上传漏洞。为了更深刻的理解其原理,我从git拉取了项目,由于该漏洞在最新版本已经修复,所以这只是历史版本中存在的。写这篇文章来提醒自己代码中容易出问题的地方。
kkFileView 填坑记录
qq187363147的专栏
04-22 4074
系统使用es,canal,kkFileView等第三方软件,一开始全部使用docker镜像部署,一开始部署很快,用着用着服务器磁盘经常开始bps读写满,定位了好久也无法处理问,无奈之下只能换回原生安装方式。 1.回主题,去kkFileView官网下载发布版本,maven打包,得到kkFileView-3.5.1.jar 2.安装openoffice环境支持,服务器使用的是阿里云centos7,执行install.sh,脚本如下 安装完openoffice后,启动 # /op...
奇安信安全扫描漏洞解决路径遍历和存储xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
YXcms-含有存储XSS漏洞的源码包
03-17
综上所述,YXcms源码包中存在存储XSS漏洞是一个严重的安全问题,开发者在使用时应高度重视,采取必要的安全措施,以保护用户的数据安全。同时,这也提醒我们在使用开源软件时,要时刻关注安全更新,及时修补漏洞...
DedeCMS 存储xss漏洞1
08-03
【DedeCMS 存储 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
YXcms是一个常见的内容管理系统,但在这个特定的版本——"YXcms-含有存储XSS漏洞的源码包(1).zip"中,存在一个严重的安全问题:存储跨站脚本(Stored Cross-Site Scripting,简称存储XSS漏洞。这种漏洞允许...
kkFileView任意读取漏洞思考
qq_82303224_的博客
04-26 3516
urlPath=file:///etc/passwd //突破限制目录。urlPath=file:///etc/passwd直接可以读文件和。urlPath=file:///etc/passwd 成功读取到内容,urlPath=file:///etc/passwd 提示限制目录预览。.思路7:..|/..|/..|/..|/..|/..|/..|/..|etc/passwd。file:///etc/passwd 也是 500。
kkFileView文件预览服务—提供最新版本免费下载(4.4.0)
qq_41161079的博客
04-01 1827
文档在线预览项目解决方案,项目使用流行的spring boot搭建,易上手和部署。万能的文件预览开源项目,基本支持主流文档格式预览
kkfileview阿里云安全扫描:威胁类敏感信息回显 (Sensitive Information Response)
weixin_43866043的博客
03-30 1942
kkfileview
gitee开源程序kkFileView踩坑及解决方案
热门推荐
剑雪封喉
12-21 2万+
目录 前言 一、依赖选择 二、环境部署安装 2.1解压 2.2启动程序 2.3踩坑--------office.home配置有误 2.4踩坑问题解决 三、踩坑-------OFFICE组件不可用 3.1确认是否是office组件的问题 3.2验证office组件是否不可用 3.3验证office组件是否可用 四、踩坑-------officeHome must exist and be a directory 五、程序优化 5.1无法打开dox文件,使用KFV程序转义成pdf时会
kkfileview的坑
梁诗傑的博客
04-25 958
https://gitee.com/kekingcn/file-online-preview/issues/I4CZ04
Java-网络
最新发布
2301_81543552的博客
09-14 337
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
Android Studio 2024与2022 解决Read timed out和connect timed out的问题
2301_80035882的博客
09-14 337
如果在新建Android项目时报错:Read timed out或者connect timed out。
Catfish(鲶鱼) Blog V1.3.15 存储XSS漏洞分析
"Catfish(鲶鱼) Blog V1.3.15存在存储XSS漏洞,攻击者可以通过在评论区输入恶意脚本,导致用户在查看评论时执行XSS攻击。" 在讨论这个安全问题之前,让我们先了解一下XSS(Cross-Site Scripting)的概念。XSS是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值