聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
该漏洞产生的原因在于Microweber 早期版本提供的内容管理防御中存在缺点。这些缺点使攻击者可上传XSS payload,前提是该payload 中包含名称以 “html” 结尾的文件(而非简单的 .html 文件)。该payload 被上传后,含有恶意HTML的URL即可被访问,恶意JavaScript 被执行。
攻击者通过控制受害者浏览器中执行的脚本,即可窃取cookie,之后模拟可能是受陷系统管理员的受害者。
Microweber 回应称“问题已修复”。
研究人员指出,自己是在看到 huntr.dev 后发现其他很多研究员在Microweber 上发现了漏洞,因此自己也加入其中。他们指出,这些漏洞也常见于其它类似的企业软件中,这些漏洞常常是因为缺少对来自HTTP请求的用户输入的清洁不够造成的,因此开发人员应当使用“允许名单”而非“拦截名单”将这些问题的影响降至最低。
技术分析可见:https://huntr.dev/bounties/d184ce19-9608-42f1-bc3d-06ece2d9a993/
原文始发于微信公众号(代码卫士):开源网站内容管理系统Micorweber存在XSS漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论