漏洞信息
# teler-waf 通过实体负载绕过检测规则
## 漏洞概述
teler-waf 是一个提供 teler IDS 功能的 Go HTTP 中间件,用于防范基于 Web 的攻击。在 teler-waf v0.2.0 之前的版本中,存在一个绕过攻击漏洞。当使用特定大小写敏感的十六进制实体载荷和特殊字符(如 CR/LF 和水平制表符)时,攻击者可以执行任意的 JavaScript 代码,从而在受害者浏览器中绕过常见的 Web 攻击威胁规则,执行跨站脚本 (XSS) 攻击。
## 影响版本
- 影响版本:v0.2.0 之前的版本
- 修复版本:v0.2.0
## 细节
该漏洞允许攻击者在受害者浏览器中执行任意的 JavaScript 代码。攻击者可以利用此漏洞绕过 teler-waf 的常见 Web 攻击威胁规则,发动跨站脚本 (XSS) 攻击,从而窃取敏感信息(如登录凭据和会话令牌)或控制受害者的浏览器并执行恶意操作。
## 影响
- 攻击者可以窃取敏感信息,如登录凭据和会话令牌。
- 攻击者可以控制受害者的浏览器并执行恶意操作。
- 该漏洞已经被修复在版本 v0.2.0 中。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
teler-waf contains detection rule bypass via entities payload
漏洞描述信息
teler-waf is a Go HTTP middleware that provides teler IDS functionality to protect against web-based attacks. In teler-waf prior to version v0.2.0 is vulnerable to a bypass attack when a specific case-sensitive hex entities payload with special characters such as CR/LF and horizontal tab is used. This vulnerability allows an attacker to execute arbitrary JavaScript code on the victim's browser and compromise the security of the web application. An attacker can exploit this vulnerability to bypass common web attack threat rules in teler-waf and launch cross-site scripting (XSS) attacks. The attacker can execute arbitrary JavaScript code on the victim's browser and steal sensitive information, such as login credentials and session tokens, or take control of the victim's browser and perform malicious actions. This issue has been patched in version 0.2.0.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L
漏洞类别
Web页面中脚本相关HTML标签转义处理不恰当(基本跨站脚本)
漏洞标题
teler-waf 安全漏洞
漏洞描述信息
teler-waf是一个 Go HTTP 中间件,它提供 teler IDS 功能以防止基于 Web 的攻击并提高基于 Go 的 Web 应用程序的安全性。它具有高度可配置性,易于集成到现有的 Go 应用程序中。 teler-waf 0.2.0之前版本存在安全漏洞,该漏洞源于容易受到旁路攻击。攻击者利用该漏洞执行任意JavaScript代码并危及Web应用程序的安全性。
CVSS信息
N/A
漏洞类别
其他