javaee论坛管理员好,今天发现javaee论坛一个注入bug:
在发帖的时候,标题注入未被后台过滤,我那格用javaee论坛源码的就被注入了,bug请及时修复!
1、Tools.java 的 replacezhuanyi方法中最好干掉script 和 iframe 不必留情
html = java.util.regex.Pattern.compile("<script[\\s\\S]*?>[\\s\\S]*?<\\/script>", Pattern.CASE_INSENSITIVE).matcher(html).replaceAll("");
html = java.util.regex.Pattern.compile("<iframe[\\s\\S]*?>[\\s\\S]*?<\\/iframe>", Pattern.CASE_INSENSITIVE).matcher(html).replaceAll("");
//html=html.replaceAll("<script>", "<script>");
//html=html.replaceAll("</script>", "</script>");
2、TieziContriller.java中,在帖子回复处,需要对内容进行js脚本过滤,如果过滤后存在空的情况,最好跳转到无权限页面,因为过滤后还为空肯定是坏人。
3、Tools.java 的 updatebaiduresult方法中tempContextUrl的URL前缀最好放在配置文件读取,因为网站都是配置域名的,若读取的只是本地uri那在域名访问的时候就没法在uediter展示图片了!
这是我发现的一些小问题,希望javaee论坛能继续做下去,越做越好,坚持就是胜利!无聊看看网留!