聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

PrivateBin 是热门 ZeroBin 的一个分叉,它是一款在线工具,用于存储信息并通过 256位 AES 在浏览器中加密/解密,即服务器“不知晓所粘贴数据”。这款开源工具中存在一个跨站点脚本 (XSS) 漏洞。

Nethemba 公司的安全研究员Ian Budd 发现该XSS 漏洞可导致恶意 JavaScript 代码嵌入 SVG 镜像文件中,之后被附加到粘贴中。

如果用户通过特殊构造的 SVG 附件打开粘贴并和预览镜像交互,而该实例未受到正确的内容安全策略保护,则攻击者可执行代码。Budd 指出,“创建payload 并发送给其它用户很容易。但问题是用户将不得不在新的页签中打开该镜像预览,成功执行后,将导致用户可访问运行在用一个域上其它应用的不受保护的 cookie、本地存储数据、会话存储数据等,其中可能包括认证令牌。”

攻击概率低

Budd 表示,攻击成功的概率相对较低,因为它明确要求进行用户交互,且潜在利用代码仅可在新页签中运行。他表示,“PrivateBin 在创建内容安全策略方面做得很好,从而缓解了该漏洞。如果用户使用的浏览器不遵守该内容安全策略或编辑默认内容安全策略的站点,则会触发该漏洞。”

然而,Nethemba 在实例列表中发现,多个实例或者不遵守内容安全策略或者更改至不安全的设置,其中两个实例启用了附件,因此易受攻击。尽管如此,目前尚未发现该漏洞遭活跃利用的报告。

漏洞披露

2月22日,研究员上报该缺陷;4月9日,漏洞详情公开。

Budd 指出,“漏洞披露过程很简单,我们和运行系列测试的 Simon Rupf 进行沟通,并了解了他的研究成果。我们讨论了缓解措施,PrivateBin 让我们了解了每一个步骤。”

PrivateBin 指出,已经修复预览中的这个漏洞,并鼓励服务器管理员升级至已修复版本,或确保实例的内容安全策略设置正确。同时它还扩展了目录清单工具,纳入检查机制。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

开源网站内容管理系统Micorweber存在XSS漏洞

速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用
开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞

热门开源 WYSIWYG 编辑器 TinyMCE 被指存在严重的 XSS 漏洞

开源 CMS Drupal 修复 XSS 和开放重定向漏洞

原文链接

https://portswigger.net/daily-swig/xss-vulnerability-in-open-source-tool-privatebin-patched

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

开源工具 PrivateBin 修复XSS 漏洞相关推荐

  1. java 富文本 xss_KindEditor开源富文本编辑框架XSS漏洞

    原标题:KindEditor开源富文本编辑框架XSS漏洞 *原创作者:卫士通 安全服务事业部 天龙,叶龙,本文属FreeBuf原创奖励计划,未经许可禁止转载 0×01 前言 KindEditor 是一 ...

  2. 开源 CMS Drupal 修复 XSS 和开放重定向漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 开源 CMS Drupal 的更新修复了跨站脚本 (XSS) 漏洞和开放重定向漏洞,不过这些它们仅被评为"中危"级 ...

  3. 热门开源库 JsonWebToken 存在RCE漏洞,可引发供应链攻击

     聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...

  4. 开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周,开源的内容管理系统 Drupal 修复了多个信息泄露和跨站点脚本 (XSS) 漏洞,其中包括一个"严重"级别 ...

  5. 开源框架 Drupal 修复多个访问绕过和 CSRF 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,Drupal 开发人员通知用户称已发布 Drupal 8.9.9.1和9.2版本更新,修复了五个可导致跨站请求伪造 (CSRF) 和访问 ...

  6. web漏洞-xss漏洞

    web漏洞-xss漏洞 文章目录 web漏洞-xss漏洞 前言 xss介绍 什么是xss xss漏洞产生原因 xss漏洞危害 xss漏洞分类 反射型xss 存储型xss DOM型xss xss漏洞防护 ...

  7. 防止XSS漏洞攻击常用解决方案

    漏洞通用描述 跨站脚本攻击(Cross Site Scripting),简称XSS漏洞. 该页面直接将用户在 HTML 页面中的输入(通常是参数值)加载到前端页面,没有预先加以清理. 如果脚本在响应页 ...

  8. 速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用...

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

  9. Drupal 更新开源编辑器 CKEditor,修复两个 XSS 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周三,Drupal 内容管理系统开发人员宣布称更新了版本8.8.x和8.7.x,解决了影响 CKEditor 库的多个漏洞. CKE ...

最新文章

  1. CentOS7.2基于LNMP+WordPress离线安装
  2. 使用dbunit和system-rules测试代码
  3. 【图像超分辨率】Meta-SR: A Magnification-Arbitrary Network for Super-Resolution
  4. A tutorial video for MindManager for free
  5. 我又踩坑了!如何为HttpClient请求设置Content-Type标头?
  6. 【渝粤题库】国家开放大学2021春2312旅行社经营管理题目
  7. Android视频: YUV转RGB
  8. java5个线程_java基础thread——java5之后的多线程(浅尝辄止)
  9. 聊一聊关于“元宇宙”涉及的前端技术
  10. 柱状图表制作如此简单,比阿里云DataV更好用的数据可视化平台
  11. (转)如何将Sklearn数据集Bunch格式转换为Pandas数据集DataFrame?
  12. Bailian2706 麦森数【大数】
  13. 免校准的电量计量芯片_【应用】基于高精度免校准电能计量芯片CSE7761的漏电保护设计,可支持单芯片两路计量...
  14. Windows Installations
  15. python工程师需要掌握什么技能_从事Python工程师具体需要掌握哪些技能
  16. 九龙证券|近50亿资金抢筹券商龙头,知名游资杀入热门互联网股
  17. 3年半工作经验女程序员,聊聊程序员的薪水、工作内容和发展前景
  18. 格子玻尔兹曼法学习记录(附MATLAB画图源程序)
  19. 职场减压:11招数让你不再是工作奴隶
  20. centos七部署nginx+haproxy+nfs操作步骤

热门文章

  1. 《3D打印:正在到来的工业革命》——1.1节3D 技术打印是如何工作的
  2. From NSURLConnection to NSURLSession
  3. cocos2dx[3.2](21)——观察者模式NotificationCenter
  4. Archlinux 简明安装指南
  5. 简单几行javascript代码,实现动态倒计时功能
  6. Gnome Tweak Tool 3.0.5发布
  7. Redis master和slave是如何实现数据同步的
  8. 传统企业如何选择优质的微信解决方案提供商
  9. http://longshuai2007.blog.163.com/blog/static/1420
  10. MongoDB:The Definitive Guide CHAPTER 2 Getting Started