安科网

Apache Sling Servlets Post跨站脚本漏洞(CVE-2017-9802)

xuejiazhi

xuejiazhi

2017-08-16

关注 关注
Apache Sling Servlets Post跨站脚本漏洞(CVE-2017-9802)


发布日期:2017-08-14
更新日期:2017-08-16

受影响系统:

Apache Group Sling Servlets Post < 2.3.22

描述:

BUGTRAQ  ID: 100284
CVE(CAN) ID: CVE-2017-9802

Apache Sling是Java平台上的开源Web框架,在JCR内容库上创建面向内容的应用。

Apache Sling Servlets Post < 2.3.22版本,Sling.evalString()使用javascript 'eval'函数解析输入字符串,可导致跨站脚本攻击。

<*来源:Dmitriev V.
  *>

建议:

厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://issues.apache.org/jira/browse/SLING-7041
https://lists.apache.org/thread.html/2f4b8333e44c6e7e0b00933bd4204ce64829952f60dbb6814f2cdf91@%3Cdev.sling.apache.org%3E

post apache sling 漏洞

xuejiazhi

xuejiazhi

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

Nginx设置日志打印post请求参数的方法

我们项目的短信功能是接第三方,原来对接第三方给我们回执确认请求是get请求我们在排查问题的时候可以通过nginx的日志拿到对方给我们请求的参数;最近我们换了另外一家第三方,新的第三方给我们的确认请求是post,遇到问题排查,发现nginx没有打印具体参数,

Guanjs0 2020-11-09

PHP实现计算器小功能

$error = "有以上问题: <br>";$error .= "第一个数不能为空.<br>";<td><input type="submit" id

wmsjlihuan 2020-09-15

php实现简易计算器

echo "第一个值不能为空";// 获取第一个值,赋值给num1;echo "0不能作为除数使用";-- 第一个文本框放第一个数num1,显示第一个数 -->. -- 下拉框 显示运算符 -->. --

shishengsoft 2020-09-15

php 利用socket发送GET,POST请求的实例代码

  作为php程序员一定会接触http协议,也只有深入了解http协议,编程水平才会更进一步。最近我一直在学习php的关于http的编程,许多东西恍然大悟,受益匪浅。希望分享给大家。本文需要有一定http基础的开发者阅读。  今天给大家带来的是如何利用so

poplpsure 2020-08-17

php模拟post提交请求调用接口示例解析

下面是具体的调用案例。这样就提交请求,并且获取请求结果了。一般返回的结果是json格式的。这里的post是拼接出来的。也可以改造成下面的方式。将拼接也封装了起来,这样调用的时候就更简洁了。

CyborgLin 2020-08-15

Python接口自动化(三)post请求四种传送正文方式

HTTP协议规定POST提交的数据必须放在消息主题中,但协议并没有规定数据必须使用什么编码方式。  我们知道,HTTP协议是以ASCII码传输,建立在TCP/IP协议之上的应用层规范。规范把HTTP请求分为三个部分:状态行、请求头、消息主体。  首先,Co

Richardxx 2020-07-26

Python接口自动化(二) 发送post请求的接口;python中字典和json的区别

help查看相关注释和案例内容。post的body是json类型,也可以用json参数传入。先导入json模块,用dumps方法转化成json格式。一般来说登陆只要涉及安全性方面考虑,那么登陆就会比较复杂。python中json和dict非常类似,都是ke

sunnyhappy0 2020-07-26

一个菜鸟前端的自我提升:有关http请求中的get和post请求

在http/1.0中共定义了三种请求方式:get、post、head。在http/1.1中新增了五种请求方式:options、put、delete、trace、connect。在这八种方法中get、post这两种是最常见的请求方法。而post方法数据不会显

knightwatch 2020-07-19

有关post的三种提交格式

request.body:其中有json格式的编码数据,但是是bytes类型,需要用json模块反序列化一下,变成字典,才能用。并不是前两种方法不在会在request.body中,而是request.POST只接受前两种,第三种json格式必须去请求体里面

wcqwcq 2020-07-04

接口测试之GET与POST请求

好久没有复习接口测试了,现在开始把之前的知识拿出来整理下,帮助自己学习新的知识,捡起老的知识点。今天从最基础的GET与POST请求开始吧。我们想要打开一个网站,首先是需要往浏览器的地址的URL输入框架中输入网地址。当IP主机拿到请求后,将相应的资源返回给用

chichichi0 2020-06-16

实例讲解PHP表单

1 GET 和 POST 都创建数组。此数组包含键/值对,其中的键是表单控件的名称,而值是来自用户的输入数据。2 GET 和 POST 被视作 $_GET 和 $_POST。它们是超全局变量,这意味着对它们的访问无需考虑作用域 - 无需任何特殊代码,您能够

YAruli 2020-06-13

PHP: POST Content-Length of xxx bytes exceeds the limit of 8388608 bytes【转】

用户上传了 4 个附件,每个小于 5M,但是总大小超过了 15 M。在 Nginx 日志中找到了如下错误信息,还没有到 Laravel 日志那一层。2018/08/13 10:14:38 [error] 8326#8326: *11432788 FastC

JF0 2020-06-13

JavaScript-函数式编程

在数学和计算机科学中,柯里化是一种将使用多个参数的一个函数转换成一系列使用一个参数的函数的技术。我们会讲到如何写出这个 curry 函数,并且会将这个 curry 函数写的很强大,但是在编写之前,我们需要知道柯里化到底有什么用?

84423067 2020-06-12

elasticsearch对已存在的索引增加mapping字段

conflicts=proceed. POST /_tasks/?pretty&detailed=true&action=*byquery

心丨悦 2020-06-11

4 HTTP协议及Requests库方法

# requests库head()方法:得到头部信息。# requests库post()方法:向表单增加信息。payload = {‘key1‘: ‘value1‘, ‘key2‘:‘value2‘}. # requests库put()方法:覆盖原有数据

zkwgpp 2020-06-04

php表单提交时获取不到post数据的解决方法

确定问题:观察你的运行php的浏览器地址,会发现在PhpStorm中打开浏览器使用的服务端口号是63342. 既然PhpStorm内部服务器有问题,那解决方法就是想办法不使用内部服务器。然后把项目建在Apache目录下的htdocs里面就可以了。

stoneechogx 2020-06-04

Redis入门(4) - 排序

很多场合需要对元素进行排序,这时除了使用有序集合外,还可以借助Redis提供的SORT命令来排序。如果元素为非数字,增加ALPHA参数可以按照字典顺序排列。如果没有加ALPHA参数的话,SORT命令会尝试将所有元素转换成双精度浮点数来比较,如果无法转换则会

litterfrog 2020-05-30

c# 使用HttpClient的post,get方法传输json

post 的方法找了白天才解决

hygbuaa 2020-05-28

Jmeter请求元件之Jmeter request 发送get请求和post请求(三)

注意:1. 协议为https的时候需要写成https;2. 服务器名称和IP处,不能加上协议名;3.路径处必须有斜杠;4.参数处注意空格

today0 2020-05-26

在线HTTP接口POST请求测试工具 类似Postman在线网页版 Mock API Android iOS

Getman 是一个免费的在线接口请求调试工具,支持在线发送HTTP请求,自定义Header Cookie,内网跨域调试、Mock Server 接口模拟等功能。相较于 Postman 和其他付费软件,Getman 操作更加简单便捷:无需安装、无需注册,在

beibeijia 2020-05-16
xuejiazhi

xuejiazhi

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号