协调披露有助于保护超过100,000个依赖项
漂白,一个Python库,使Web开发人员能够清除HTML输入并防止beplay体育能用吗跨站脚本(xss)攻击本身发现有一个xss漏洞,据咨询通过Mozilla,图书馆开发商发布在Github上。
Mozilla Bleach逃离并删除否则在浏览器上呈现时会导致任意代码的字符。从这个写作,超过100,000个GitHub存储库取决于漂白剂。
CheckMarx的研究人员发现的脆弱性被发现在图书馆干净的()函数,消毒HTML代码。
“我们没有证据表明疯狂被剥夺的脆弱性,”Mozilla的发言人告诉每日SWbeplay2018官网IG.。
突变XS
开发人员可以控制清洁过程前方将在HTML代码中允许的标签。
在处理允许的允许标记的某些配置的方式方面缺陷易受伤害的通过不同的浏览器解释HTML代码,是“突变XSS”,一种特殊的XSS漏洞引起了HTML代码。
“利用此漏洞需要一个非默认配置,这就是为什么我们将严重程度评为适度的原因”,“Mozilla发言人表示。
受到推崇的播放获取:新XS泄漏利用浏览器重定向以打破用户隐私
“产生此漏洞需要满足一组预先条件...如果满足这些条件,则可以再现漏洞。”
Mozilla在最新版本的漂白剂中修补了漏洞。在咨询中,组织建议建立强大的建议内容安全策略减轻进一步的风险。
一个不断增长的威胁
值得注意的是,这是第三突变XSS错误在过去的一年中发现了漂白剂。
“由于最近发布了关于该主题的详细研究博客帖子和有用的工具,”突变XSS虫子已经变得普及,“Mozilla发言人说。
“一旦这样的相关研究被宣传,我们考虑越来越关注特定漏洞正常的漏洞。”
在书面评论中每日SWbeplay2018官网IG.HeckMarx安全研究负责人的Erez Yalon警告说,突变XSS与每个Web应用程序相关,而不仅仅是基于Python的。beplay体育能用吗
“[突变XSS]稍微复杂,以发现和利用而不是其他XSS攻击因为它将代码中的弱点与浏览器倾向于尝试和修复内容操作来解决错误,“Yalon说。
他补充说:“具有代码可见(如在开源的原样)使其更易于执行,因为攻击者通过代码的有效载荷的组合和浏览器操作导致有害效果。”
yalon指出,突变xs在研究人员和攻击者之间变得越来越普遍。“所以,我们认为,我们的责任是安全研究人员教育开发人员并在被剥削之前尝试在野外找到这些问题,”他说。
