javaee论坛

普通会员

4

帖子

319

回复

341

积分

楼主
发表于 2017-09-08 13:34:17 | 查看: 2046 | 回复: 3

javaee论坛管理员好,今天发现javaee论坛一个注入bug:

在发帖的时候,标题注入未被后台过滤,我那格用javaee论坛源码的就被注入了,bug请及时修复!

1、Tools.java 的 replacezhuanyi方法中最好干掉script 和 iframe 不必留情

html = java.util.regex.Pattern.compile("<script[\\s\\S]*?>[\\s\\S]*?<\\/script>", Pattern.CASE_INSENSITIVE).matcher(html).replaceAll("");

html = java.util.regex.Pattern.compile("<iframe[\\s\\S]*?>[\\s\\S]*?<\\/iframe>", Pattern.CASE_INSENSITIVE).matcher(html).replaceAll("");

//html=html.replaceAll("<script>", "&lt;script&gt;");

//html=html.replaceAll("</script>", "&lt;/script&gt;");

2、TieziContriller.java中,在帖子回复处,需要对内容进行js脚本过滤,如果过滤后存在空的情况,最好跳转到无权限页面,因为过滤后还为空肯定是坏人。

3、Tools.java  的 updatebaiduresult方法中tempContextUrl的URL前缀最好放在配置文件读取,因为网站都是配置域名的,若读取的只是本地uri那在域名访问的时候就没法在uediter展示图片了!

这是我发现的一些小问题,希望javaee论坛能继续做下去,越做越好,坚持就是胜利!无聊看看网留!



普通会员

4

帖子

319

回复

341

积分
沙发
发表于 2017-09-08 13:46:25

保险起见最好把style样式标签也给干掉

超级管理员

98

帖子

374

回复

10847

积分
板凳
发表于 2017-09-08 15:03:10

好的 谢谢提醒

普通会员

1

帖子

287

回复

299

积分
地板
发表于 2017-11-02 18:15:44

这么暴力  防XSS攻击进行html转义替换就好了呀

您需要登录后才可以回帖 登录 | 立即注册

触屏版| 电脑版

技术支持 历史网 V2.0 © 2016-2017