免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
1►
漏洞描述
Mobsf允许用户上传带有 filename 参数的脚本文件。因此,恶意用户可以将脚本文件上传到系统。当应用程序中的用户使用“上传&分析”功能时,他们会受到存储型XSS的攻击。
2►
漏洞细节
在“上传&分析”功能中存在存储型XSS。出现此问题的原因是上传功能允许用户上传文件名中含有特殊字符(例如 <、>、/ 和 ")的文件。可以通过将文件上传限制为仅包含白名单字符(例如 AZ、0-9)和业务要求允许的特定特殊字符(例如 - 或 _ )的文件名来缓解此漏洞。
3►
漏洞危害
-
窃取敏感信息,包括会话令牌和 cookie -
代表受害者进行未经授权的行动 -
破坏应用程序界面 -
可能与其他漏洞串联起来进一步利用
4►
原文始发于微信公众号(李白你好):移动安全框架 (MobSF) 存在存储型XSS漏洞 | CVE-2024-53999
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论