内容过滤缺点导致网络安全漏洞beplay体育能用吗
安全研究人员发现了一个存储的跨站脚本((XSS)Microweber中的漏洞,开源网站构建器和beplay体育能用吗内容管理系统(CMS)。
由研究人员James Yeung和Bozhidar Slaveykov发现的安全问题,并被追踪为CVE-2022-0930在Microweber的1.2.12版中解决了。beplay体育能用吗
由于Microweber早期版本提供的内容过滤保护措施的缺点,因此出现了问题。beplay体育能用吗
这些缺点意味着攻击者有可能上传XSS有效载荷,只要它包含一个以“ HTML”结尾的文件,该文件不仅包括简单的类别.html文件。
一旦上传了此有效载荷,就可以访问具有恶意HTML的URL和恶意JavaScript执行。
通过控制受害者浏览器中执行的脚本,攻击者有可能在模仿受害者的受害者之前窃取cookie,这可能是受损系统的管理员。
攻击的深度更深入技术博客文章- 具有概念证明的利用 - 由Yeung和Slaveykov组合在一起。
每日swbeplay2018官网ig邀请Microweber通beplay体育能用吗过其网站上的WebForm发送的消息来评论研究人员的发现。作为回应,Microweber确认“beplay体育能用吗问题已经解决”。
Yeung被问及他们是如何遇到微维伯的beplay体育能用吗每日swbeplay2018官网ig:“我遇到了Huntr.dev,发现其他研究人员发现了Microweber上的脆弱性,这就是为什么我加入了这种躁狂症!”beplay体育能用吗
根据Yeung的说法,在Microweber中发现的脆弱性是其他可比企业软件beplay体育能用吗包中发现的漏洞。
研究人员解释说:“我发现在Microweber等多个CMS中发现了类似的漏洞,我发现其中大多数缺乏HTTP请求中的用户输入消毒(beplay体育能用吗其中一些不打算从客户端提交)。”
Yeung得出的结论是,开发人员应朝着使用允许名单的方式迈进,而不是使用Block-List作为最大程度地减少该领域问题的手段。
你也许也喜欢网络钓鱼技术模拟弹出窗口以利用用户
