漏洞起因
输入验证错误
危险等级
中
影响系统
OWASP Java Encoder
不受影响系统
危害
远程攻击者可以利用漏洞可绕过过滤限制,进行跨站脚本等攻击。
CVSSv2:
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。
漏洞信息
OWASP Java Encoder是一个编码库,通过对不可信输入进行编码保护用户站点。
OWASP Java Encoder没有正确处理”`”字符,允许攻击者利用漏洞构建恶意WEB页,诱使用户解析,可绕过过滤限制,进行跨站脚本等攻击。
测试方法
安全建议
厂商解决方案
目前没有详细解决方案提供:
https://www.owasp.org/index.php/OWASP_Java_Encoder_Project?
漏洞提供者
Rafay Baloch And Alex Infuhr
评论关闭。